[FLUG] Reverse engineering sul sito della banca
- From: "Bolognini" <rlbolo@xxxxxxxxx>
- To: "fanolug" <fanolug@xxxxxxxxxxxxx>
- Date: Sun, 24 Mar 2002 12:42:38 +0100
Mailing List del Fortunae LUG
=============================
Ciao ragas,
venerdì ho avuto la malaugurata idea di chiedere alla banca di attivarmi
l'home banking che sapevo gratuito... infatti lo è ma non è quello il punto.
Passando sopra che le password e il nome utente possono essere solo numerici
(1° errore) e la pass non può essere + lunga di 5 caratteri (2° errore) sono
andato sul sito della banca a vedere di fare il primo tentativo di login. Mi
si apre una finestra in popup per farmi loggare... vado a vedere il codice
della pagina suddetta e che mi ritrovo? Nome e versione del software usato
per il web-banking con tanto di sito della software house barese che lo
produce (3° errore)
<cut>
<!--- ************************************************* --->
<!--- * SIMPLYBANK Web - Servizio Internet Banking * --->
<!--- * Versione 1.0 * --->
<!--- * (c) 1997,2000 - Auriga Informatica S.r.l. * --->
<!--- ************************************************* --->
<!--- * Web : http://www.aurigainformatica.it * --->
<!--- * email: info@xxxxxxxxxxxxxxxxxxxx * --->
<!--- ************************************************* --->
</cut>
Perdipiù nel codice c'era il path alla directory cgi dove risiedono i
programmi (4° errore) perciò mi son fatto salvare la pagina da Explorer (1°
mio errore: usare IE lo so lo so!!) che quando salva di mette nel codice
anche l'url della pagina ho aggiunto il path della dir cgi con in file .exe
(sperando di riuscire a scaricarlo) all'url della pagina e il server mi
risponde così:
<cut>
Errore
Rilevato un tentativo di accesso effettuato in maniera impropria.
</cut>
Vabbé dico ma allora un'idea ce l'hanno (2° mio errore) perché andando sul
sito della suddetta software house scopro che il software può girare sui
seguenti sistemi:
<cut>
Sistema Operativo:
Application Server: OS 400,Windows NT, MP RAS System V, Sco Unix
Web Application Server: Sistema Operativo Windows NT Server 4.0 con service
pack 4
</cut>
[voi adesso sospetterete che io abbia tagliato la dicitura "con service pack
4 o superiore" no belli... proprio no!! C'era scritto -purtroppo- solo con
SP4]
ma visto che il programma cgi è un .exe non può essere altro che WinNT
quello scelto dalla mia banca per farcelo girare (5° errore) e perdipiù con
il Service Pack 4... ma visto che su NT siamo arrivati al SP6 e contando il
numero di bachi che ogni volta un SP M$ va a correggere direi che fra NT SP4
e SP6 ci saranno quel bel migliaio di bachi di cui certamente qualcuno
moooltooo pericoloso!
E Simon certamente potrà dirci se magari un cgi in .exe
https://wbank.fmbcc.bcc.it/cgi-prod/sbweb.exe sia vulnerabile a un buffer
overflow anche se la lunghezza dei campi della form usata per fare il login
è fissato in max 16 char.
E queste sono solo le info che ho potuto grabbare da semplici analisi del
codice HTML in 5 minuti effettivi... immaginatevi quante belle info in +
potrebbero essere rippate se uno ci si mettesse d'impegno! Magari arrivando
a sostituire la pagina della form con una "troianizzata" che invia i dati
dei login degli utenti a qualche email russa ;-) Il S.O lo sappiamo qual'è e
addirittura credo di sapere anche qual'è il server usato visto che l'url
della pagina iniziale della mia banca http://www.fano.bcc.it reindirizza a
http://194.184.81.54/ciscraweb3/templweb.nsf
provate a lasciare solo http://194.184.81.54/ e vedete un po dove vi porta:
ma a una bella pagina di documentazione del server Lotus Domino ovviamente
(6° errore) !!! :-) Ero quasi tentato di mirrorarla da quanta bella
documentazione contiene!
Al solito "you are as secure as your weakest link"... e qui mi pare che non
ci siamo proprio! Che mi consigliate?? Disattivo il web-banking??
Ciao bestiacce,
Lo
--
"Una Slackware e' per sempre ..."
Other related posts:
