gg1ZmO Mar 26 at 07:47

Разбор атаки на 2FA российского банка

Easy

5 min

5.2K

Information Security * Web services testing *

Case

From sandbox

Comments 10

rtkprg3 Mar 26 at 08:44

Меня триггерит, когда 2FA называют такую систему, где пароль можно сбросить при помощи СМС и открытых данных (пусть и открытых в даркнете). Например, сброс пароля при помощи СМС и номера карты или номера паспорта. Это все уже ОДНОфакторка, т.к. не требуется второй секрет. Номер паспорта и карты секретом не является.
Для вас, как пентестера, такие сценарии являются багом, о котором вы информируете заказчика?

gg1ZmO Mar 26 at 08:57

Понимаю вашу реакцию, довольно часто встречаю такое.
Но с точки зрения классификации - это не баг, а уязвимость. Баг - это когда что-то работает не так, как задумывал разработчик. Здесь же всё работает ровно по задумке, просто задумка такая себе.Так что это полноценная уязвимость, о которой я, конечно же, информирую заказчика и выдаю рекомендации по устранению.

rtkprg3 Mar 26 at 10:00

Но при этой "задумке" банк все равно называет свою аутентификацию 2FA? Если да, то это именно баг.

Zhuravlev-A-E Mar 27 at 06:30

Баг - это когда что-то работает не так, как задумывал разработчик.

Обычно считается, что баг (или программная ошибка) это когда либо запрограммированно (код работает) не так как задумано либо ошибка в дизайне

Или словами классика: "В программном обеспечении имеется ошибка, если оно не выполняет того, что пользователю разумно от него ожидать"

verticalacid Mar 26 at 09:08

Пост после удаления слопа:

При пентесте российского банка нашли, что SMS-код для входа в личный кабинет — 4 цифры (10 000 вариантов), а сервер не ограничивает количество попыток ввода. Ни блокировки, ни капчи, ни счётчика ошибок. Написал скрипт, перебрал все коды за секунды, получил полный доступ к ЛК с финансовыми заявками, паспортными данными и возможностью оформлять кредиты. Банку сообщили, дыру закрыли.

Shaman_RSHU Mar 26 at 11:23

У вас первые две картинки огромны, но контент там размазан, поэтому можно было не замазывать. Но суть понятна

Reedus0 Mar 26 at 11:48

Господа, ну мы все взрослые люди, ну давайте не будем рофлить над начинающим специалистом

Anosha Mar 26 at 11:53

Когда он станет популярным, я буду гордиться что знаком с ним

SanSYS Mar 26 at 19:58

удивительно, что такое было в банке

Vaha2838 Mar 27 at 17:26

Мужик даже в самом простом приложении от «синего» банка стоит защита от брута. После трех попыток все просто блокируется. И брутер идет дальше кодить. Так что дальше развивать мвсль не имеет смысла. Ну а с новыми законами о заморозке переводов кража денег даже при полном доступе к банку человека становится тоже миссией не выполнимо. У меня кстати был такой клиент напереводил тысяч 150 пока Сбкр ему не вставил тычину и не заблокировал кабинет. У чела включились мозги и он вышел уже на меня. Дальше дело техники. А счас этот порог блокировки начинается по моему тысяч с 20 . Переводишь на незнакомую карту 20 к и улетаешь в блок.