研究人员警告丹麦最大银行存在安全漏洞
相关标签: # 数据库# 数据# 技术# 软件# 安全漏洞
你有没有想过……
在世界的某个地方,可能有一个黑客,他想要你的钱?
大概不.因为,你相信你的银行提供安全的银行解决方案,正当
在《黑客新闻》上,我们报道了许多网络攻击事件,这证明,尽管银行安全机制健全,但银行更经常成为黑客的目标。
今天我们将讨论其中一个丹麦最大的银行,由Sijmen Ruwhof是一名道德黑客,也是IT安全顾问。
鲁沃夫最近发表了一篇博客文章我怎么能在几分钟内破解丹麦最大银行的网上银行账户".
他深入的技术帖子解释了丹斯克银行,丹麦最大的银行之一,易受黑客攻击。
8月,鲁霍夫在柏林附近的混沌通讯营(CCC)与一群丹麦黑客互动时,对测试银行安全的想法产生了兴趣。
据鲁沃夫说,安全专家和白帽黑客我们对许多丹麦银行采用的糟糕的安全措施感到失望。
鲁霍夫决定多看看…;丹麦银行也没有让他失望。
总结:丹麦银行安全漏洞
他访问了网站,查看了客户登录屏幕上的HTML代码,在浏览代码时,他没有想象到自己会受到什么样的震惊。
Ruwhof遇到的情况总结如下(这是一个故事,而不是清单):
- JavaScript注释包含内部服务器信息(以URL编码的格式); 准确地说是机密数据。
- 在解码时,关键字如下:HTTP_连接和HTTP_接受被提及;这些关键字不是为客人准备的,而是应该出现在服务器端。
- Ruwhof可以看到可能客户的IP地址(通过变量HTTP_CLIENTIP)访问丹麦银行的网站。
- 变量HTTP_用户_代理包含操作系统和web浏览器的详细信息;Ruwhof没有使用。
- 变量HTTP_COOKIE可见且信息丰富;客户的凭证可能会被实时劫持(Ruwhof抵制违法行为)。
- HTTP基本身份验证不作为变量存在授权用户和验证密码没有携带任何数据。
- 丹麦银行不使用安全的HTTPS连接来传输客户银行流量;当变量HTTPS关闭时服务器端口 carried value 80.
- 他们仍然在后端使用COBOL代码;因为(客户信息控制系统)CICS和数据库处理。
在探索了所有这些漏洞并处于震惊状态后……
Ruwhof希望向丹麦银行报告安全漏洞,以便让他们了解与网上银行服务相关的风险。
他得到的回报什么都不是!
首先,本行没有任何支持和回应此类披露的联系人。
其次,在设法获得客户服务号码后,另一端的主管说:我们的技术人员会看看你的发现。"
最后,鲁霍夫通过社交网络联系到了丹麦银行的一名员工,并在那里获得了成功。据报道,这些漏洞在24小时内得到了修补。
等等,故事还没有结束:
12天后,丹麦银行承认罗霍夫和雷丁差点陷入昏迷,银行感谢他报告了一个潜在的漏洞!
鲁霍夫严肃地说,凭借他17年的经验,他可以区分好坏。
"丹麦银行的人把事情搞得一团糟,他们现在正在报道情况。这是不诚实的,当然也不透明。"
"丹麦银行的网站上以会话cookies的形式泄露了至少两周(但可能要长得多)非常机密的客户数据。有了这些cookies,就有可能劫持客户的网上银行账户。他们很快关闭了安全漏洞,但现在否认了这一点。"
黑客攻击!他们能偷你的东西吗?
- 对6家主要银行的网络攻击
- 宙斯特洛伊木马-针对日本的银行
- Ramnit银行恶意软件的英国银行受害者
- HDFC银行网站易被身份盗窃
因此,你也可能成为网络攻击的受害者!
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
