Bastion-tech Nov 30 2021 at 10:53

«Кража» со взломом: пентест финансовой организации

7 min

20K

Бастион corporate blogInformation Security*IT systems testing*IT Infrastructure*Web services testing*

+41

Comments 14

vilgeforce Nov 30 2021 at 11:05

"передала аутентификационные данные его учетной записи" - то есть там даже httpOnly на куках не стоял?

SantrY Nov 30 2021 at 11:49

Мы конечно не видели настроек на стороне клиента и самого исполнения кода, но скорее всего да. Как правило, эта уязвимость дает такой результат если сессионная кука на приложение установлена без флага httpOnly.

vilgeforce Nov 30 2021 at 11:51

Ну если XSS hunter сграбил куку и она сработала для авторизации - даже смотреть не надо что там на клиенте ;-)

Elsajalee Nov 30 2021 at 12:23

На перебор комбинаций четырехзначного кода в несколько потоков требуется около двадцати секунд, шестизначного — несколько минут.

А проверяли? Может быть же, 4-5 ошибок и бан аккаунта до разбирательства или несколько часов (если зарегистрированный пользователь подтверждает телефон) или бан номера (если СМС-атака на номер).

Достаточно было вручную подредактировать параметры from и to в теле страницы.

Я тоже люблю так иногда делать (расстановка ловушек), вот только проверяю переданные значения на правильные, согласно сессии, и вот в случае расхождения есть замечательный журнал "breaking attempt" в котором логируем модуль, где это произошло, и всё о пользователе (ID, IP, PTR...). Раз в час, при наличии событий, присылается отчет по почте.

SantrY Nov 30 2021 at 12:53

Проверяли, там не было никаких рейт лимитов на ввод ОТП кода, и это проблема. В тексте хорошо бы смотрелся скрин, где показан успешный перебор значений, но некоторые вещи мы не можем показывать даже зацензурировав.

VladOrZ Nov 30 2021 at 13:33

Интересно, но проведенные в данной статье методики не рекомендовал бы использовать против финансовых организаций с приличными оборотами и развитой офлайн - инфраструктурой.

SantrY Nov 30 2021 at 13:38

Лучше нигде их не использовать, если нет явного разрешения со стороны владельцев инфраструктуры.

Andrey_Green Dec 1 2021 at 03:07

Юный хакер вряд-ли это сможет использовать. Да и рассылка "левых" писем - тут же поставит СБ организации НАУШИ ... а это одно из основных методов проникновения. Без этой, фактически и юридически РАЗРЕШЕННОЙ рассылки, ничего бы у (аффторов) не получилось бы.

-2

Andrey_Green Dec 7 2021 at 01:59

Наминусовали то кто? боты с коронабесием?

Ой кто это у нас такой обидчивый? правда глазки колет? или уязвленное самолюбие проснулось

scruff Nov 30 2021 at 14:15

Можно поподробнее методику брутфорса хэша видеокартой?

Nordicx86 Nov 30 2021 at 14:26

Инструменты Kali Linux - oclHashcat - https://kali.tools/?p=538

kraidiky Dec 1 2021 at 12:13

Маленькая история про пинтест защищённости банков. Офтоп, так сказать.

Святые 90-ые годы, развал, выживание, банкиры — вершина развития нового русского общества, на которого ровняется новое поколение. Мой отец — представитель прошлого, бывший офицер спецназа ГКБ «Вымпел», ушедший в охранный бизнес. Впрочем в 90-ые бывало по разному, одно время он подрабатывал, тем что застеклял и обшивал балконы вагонкой. Тоже честный способ прокормить семью.

Ну и вот как-то разговаривает он с одним своим знакомым, который тогда замом главы охраны крупного банка. И тот возмущается, типа безопасность через жопу и всё такое, а доказывать это руководству только словами не получается. Вы же там в «Вымпеле» вроде бы крутые, может можно там договориться, чтобы вы в банк вошли и там, например, крестик на хранилище нарисовали, я бы два ляма заплатил. Проблема только что с руководством на пинтест договориться не получится, так что надо по тихому, в обход, так сказать.

Ну отец ему объяснил, что не надо так делать, потому что охрана то боевым оружием вооружена. Мало ли что не так пойдёт и подстрелят кого-нибудь или наоборот проникающие вынуждены будут сделать, чтобы их не подстрелили, и чё потом с последствиями делать? В общем сказал что идея плохая, и так это не делается. А надо сказать, что «Вымпел» подобные учения проводил в своё время, устраивали проникновение на атомную электростанцию или на атомный ледокол. С ледоколом смешнее всего получилось. Но там, конечно, охрана была предупреждена, что могут быть учения в известные сроки и стрельбы открывать не разобравшись не надо. Впрочем всё равно никого они не заметили.

Ну и вот, буквально через неделю-две ежегодная пьянка в честь юбилея создания «Вымпела». Все свои. И отец рассказал эту историю в качестве анекдота. А после пьянки к нему в курилке подошёл один из бывших коллег, и говорит: «Мы тут прикинули, на такую операцию человек шесть надо, получается тысяч по 350 на брата получается, а времена сам знаешь какие. Я ничего не говорю, но может мы там съездим, чисто на объект поглядеть да прицениться?»

Пришлось и этих отморозков ещё убеждать, что не стоит в наше время из-за этого рисковать жизнью.

smke Dec 2 2021 at 10:48

Например, подобную систему использует Microsoft.

У вас ссылка на authN Policies, это немного про другое. Точнее, совсем про другое. Это про то, что к определённым политикой сервисам контроллер выдаёт tgs определённому пулу security principals.

Наверное, вы имели ввиду вот это про словари и пароли.

Bastion-tech Dec 2 2021 at 10:55

Спасибо, вы нашли более подходящую ссылку (добавим в материал), но и authN Policies не совсем про другое.

Когда писали этот абзац, держали в голове несколько случаев, когда проверка паролей была реализована через политики. Там была реализация на базе silos, и уже к ним была применена политика, а к политике технология, на которую вы ссылаетесь.