精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當(dāng)前位置:安全行業(yè)動(dòng)態(tài) → 正文

手機(jī)銀行漏洞:五行代碼可轉(zhuǎn)走銀行250億美元存款

責(zé)任編輯:editor006 作者:王小瑞 |來源:企業(yè)網(wǎng)D1Net  2016-05-19 18:12:15 本文摘自:百度百家

一名安全研究員發(fā)現(xiàn)印度一家大銀行手機(jī)應(yīng)用存在漏洞,可使他輕松偷走250億美元。

去年年末,安全研究員薩提亞·普拉卡什在一家銀行的手機(jī)銀行應(yīng)用中發(fā)現(xiàn)了一系列關(guān)鍵漏洞,可使他僅用幾行代碼就能從任何甚至全部客戶賬戶中轉(zhuǎn)錢。

作為一名白帽子,普拉卡什立即與該銀行取得聯(lián)系,幫助銀行修復(fù)了這些漏洞,而不是趁機(jī)偷取該銀行中存有的250億美元資金。

在分析該手機(jī)銀行應(yīng)用時(shí),普拉卡什發(fā)現(xiàn)里面缺乏證書鎖定,隨便一個(gè)中間人攻擊者都可以利用虛假證書降級(jí)SSL連接,捕獲明文請(qǐng)求。

除此之外,普拉卡什還發(fā)現(xiàn),該手機(jī)銀行應(yīng)用的登錄會(huì)話架構(gòu)不安全,攻擊者不用知道登錄密碼就可以偽裝目標(biāo)賬戶所有者執(zhí)行重要操作,比如查看當(dāng)前賬戶余額和存款,添加新的收款人,進(jìn)行非法轉(zhuǎn)賬等。

在博客中,普拉卡什寫道:“通過CURL直接調(diào)用轉(zhuǎn)賬API,可以繞過收款人賬戶驗(yàn)證,往不在收款人列表中的賬戶打款”。

“枚舉銀行的客戶記錄(當(dāng)前賬戶余額,存款等)只需要5行代碼。”

從任意賬戶中拿錢

如果這還不夠,普拉卡什還發(fā)現(xiàn),該應(yīng)用甚至根本不檢查客戶ID或交易授權(quán)碼(用于像轉(zhuǎn)賬、新建定期存款等重大操作)是否真正屬于打款人的賬號(hào)。

這一愚蠢的疏忽,可導(dǎo)致任何一個(gè)在該銀行有賬戶的人,都能使用此應(yīng)用從其他人賬戶上轉(zhuǎn)走資金。

普拉卡什說:“我用家人的賬戶做了測試。其中幾個(gè)賬戶甚至連網(wǎng)絡(luò)銀行或手機(jī)銀行都沒開通。但所有賬戶無一例外都能轉(zhuǎn)走錢,效果簡直立竿見影。”

然而,普拉卡什并沒有趁機(jī)利用這些漏洞牟利,而是負(fù)責(zé)任地在2015年11月13日用電子郵件告知了該銀行。幾天之后,該行副總經(jīng)理告訴他漏洞已修復(fù),但沒有給予他任何漏洞報(bào)告的獎(jiǎng)勵(lì)。

關(guān)鍵字:手機(jī)銀行手機(jī)應(yīng)用

本文摘自:百度百家

x 手機(jī)銀行漏洞:五行代碼可轉(zhuǎn)走銀行250億美元存款 掃一掃
分享本文到朋友圈
當(dāng)前位置:安全行業(yè)動(dòng)態(tài) → 正文

手機(jī)銀行漏洞:五行代碼可轉(zhuǎn)走銀行250億美元存款

責(zé)任編輯:editor006 作者:王小瑞 |來源:企業(yè)網(wǎng)D1Net  2016-05-19 18:12:15 本文摘自:百度百家

一名安全研究員發(fā)現(xiàn)印度一家大銀行手機(jī)應(yīng)用存在漏洞,可使他輕松偷走250億美元。

去年年末,安全研究員薩提亞·普拉卡什在一家銀行的手機(jī)銀行應(yīng)用中發(fā)現(xiàn)了一系列關(guān)鍵漏洞,可使他僅用幾行代碼就能從任何甚至全部客戶賬戶中轉(zhuǎn)錢。

作為一名白帽子,普拉卡什立即與該銀行取得聯(lián)系,幫助銀行修復(fù)了這些漏洞,而不是趁機(jī)偷取該銀行中存有的250億美元資金。

在分析該手機(jī)銀行應(yīng)用時(shí),普拉卡什發(fā)現(xiàn)里面缺乏證書鎖定,隨便一個(gè)中間人攻擊者都可以利用虛假證書降級(jí)SSL連接,捕獲明文請(qǐng)求。

除此之外,普拉卡什還發(fā)現(xiàn),該手機(jī)銀行應(yīng)用的登錄會(huì)話架構(gòu)不安全,攻擊者不用知道登錄密碼就可以偽裝目標(biāo)賬戶所有者執(zhí)行重要操作,比如查看當(dāng)前賬戶余額和存款,添加新的收款人,進(jìn)行非法轉(zhuǎn)賬等。

在博客中,普拉卡什寫道:“通過CURL直接調(diào)用轉(zhuǎn)賬API,可以繞過收款人賬戶驗(yàn)證,往不在收款人列表中的賬戶打款”。

“枚舉銀行的客戶記錄(當(dāng)前賬戶余額,存款等)只需要5行代碼。”

從任意賬戶中拿錢

如果這還不夠,普拉卡什還發(fā)現(xiàn),該應(yīng)用甚至根本不檢查客戶ID或交易授權(quán)碼(用于像轉(zhuǎn)賬、新建定期存款等重大操作)是否真正屬于打款人的賬號(hào)。

這一愚蠢的疏忽,可導(dǎo)致任何一個(gè)在該銀行有賬戶的人,都能使用此應(yīng)用從其他人賬戶上轉(zhuǎn)走資金。

普拉卡什說:“我用家人的賬戶做了測試。其中幾個(gè)賬戶甚至連網(wǎng)絡(luò)銀行或手機(jī)銀行都沒開通。但所有賬戶無一例外都能轉(zhuǎn)走錢,效果簡直立竿見影。”

然而,普拉卡什并沒有趁機(jī)利用這些漏洞牟利,而是負(fù)責(zé)任地在2015年11月13日用電子郵件告知了該銀行。幾天之后,該行副總經(jīng)理告訴他漏洞已修復(fù),但沒有給予他任何漏洞報(bào)告的獎(jiǎng)勵(lì)。

關(guān)鍵字:手機(jī)銀行手機(jī)應(yīng)用

本文摘自:百度百家

電子周刊
回到頂部

關(guān)于我們聯(lián)系我們版權(quán)聲明隱私條款廣告服務(wù)友情鏈接投稿中心招賢納士

企業(yè)網(wǎng)版權(quán)所有 ©2010-2024 京ICP備09108050號(hào)-6 京公網(wǎng)安備 11010502049343號(hào)

^
  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 娱乐| 荆州市| 婺源县| 保定市| 安塞县| 安溪县| 修水县| 舟山市| 潢川县| 大竹县| 仪陇县| 中阳县| 柏乡县| 抚顺县| 思南县| 蕲春县| 双鸭山市| 甘南县| 大宁县| 八宿县| 孙吴县| 西宁市| 嘉祥县| 景谷| 论坛| 河北区| 无为县| 湖南省| 宜都市| 义乌市| 藁城市| 南充市| 罗源县| 宝坻区| 青阳县| 兴义市| 左贡县| 仁怀市| 红河县| 德钦县| 延边|