امنیت – بانک های ایرانی

بانک های ایرانی یه روش جالب برای افزایش امنیت کاربراشون دارن . برای نمونه به دو تصویر زیر توجه کنید

 ibp

pec

خوبی این هشدار های اینه که وقتی کاربر وارد صفحه تقلبی بانک بشه با مقایسه آدرس صفحه متوجه میشه که صفحه اصلی بانک نیست و ممکنه حساب بانکیش خالی بشه :)

مشکل اینجاست که اگه خود هکر بیاد آدرس صفحه تقلبی خودش یعنی ( https://ibank.bankpasargaad.com ) رو تو متن صفحه ایی که درست کرده بزاره چی ؟ برای نمونه

ibp2

۲۱
مرداد ۱۳۹۴
نویسنده
دسته‌ها امنیت
دیدگاه‌ها ۱ دیدگاه
برچسب‌ها

سایت سبد کالای حمایتی

امروز یه سر رفتم تو سایت «سبد کالای حمایتی» به آدرس yaranehkala.ir ببینم چه خبره . جالبه که مثل همشه برنامه نویسی سایت های دولتی رو به افراد کم سواد از نظر برنامه نویسی میدن و … حالا شرح این مشکل : تو این سایت بعد از وارد کردن کد ملی و CAPTCHA به شما میگه که سبد به شما تعلق میگیره یا نه و اگه میگیره شماره کارت بانکی شما چنده (۶ شماره اول و ۴ شماره آخر کارت رو نمایش میده) .
تا اینجا که مشکلی نیست! راستی هدف CAPTCHA چی بود ؟ این که فقط یه انسان بتونه با فرم های سایت کار کنه و اطلاعات بگیره.
چه طورمیشه CAPTCHA این سایت رو دور زد ؟ کافیه یه نگاه به Source صفحه بندازید . اطلاعاتی که از طریق متد POST ارسال میشه به شرح زیر هست :
nationalId : کد ملی
captchaCode : کد امنیتی
passline_enc : یه کد مثل
Wk5DWjRVUUpxL2FnTTlnSVpCd3N1UVRiU2JRRTVXNXJzbGltTjdjMVJUTkVlK1UrYkYvcnU5emNJVmJUaXJiZQ==

این کد (passline_enc) تو هر بار باز شدن صفحه تغییر میکنه و در حقیقت همون کد امنیتی هست که کد شده .برای بدست آوردن کد امنیتی باید این رشته رو دیکد کنیم ، اما چطور ؟؟
نیازی نیست به خودتون سخت بگیرید .
شما می تونید تو هر بار ارسال فرم همین مقدار رو برای سایت ارسال کنید در نتیجه کد امنیتیش هم تغییری نمی کنه .
برای این نمونه که گفتم کد امنیتیش میشه ZDDCWD

با قرار دادن کد (passline_enc) در ادامه این لینک می تونید کد امنیتی رو مشاهده کنید.

در نتیجه یه آدم پلید میتونه با نوشتن یه اسکریپت ساده تمام کدملی هایی که سبد کالا می گیرن رو به همراه ۱۰ رقم از شماره کارت بانکی افراد به دست بیاره.

۱۲
بهمن ۱۳۹۲
نویسنده
دسته‌ها امنیت
دیدگاه‌ها بدون دیدگاه