Месяц назад, просматривая мобильное приложение интернет-банкинга от Альфа-Банка, я решил проверить, насколько оно безопасно.
Поскольку я являюсь клиентом этого банка, мне было интересно, уделяют ли они должное внимание безопасному хранению данных клиентов.
Уточню, что я являюсь клиентом украинского филиала и соответственно имел возможность проверить только ту часть мобильного приложения, которая предназначена для украинских клиентов.
Подготовка
Для отслеживания трафика, передаваемого мобильным приложением на сервер, установите Скрипач .Программа чрезвычайно проста в использовании, установка и настройка по инструкции достаточно проста.
Дополнительно в настройках программы нужно включить расшифровку https-трафика В настройках Wi-Fi телефона необходимо указать адрес прокси, поднятый этим приложением и для того, чтобы программа расшифровывала мобильный HTTPS-трафик, нам необходимо дополнительно установить сертификат ( iOS , Андроид ).
После всех этих действий запустите Fiddler и мобильное приложение Альфа-Банка.
Теперь все запросы, отправленные с мобильного телефона, будут отображаться в Fiddler. В нашем случае это оказалось МЫЛО протокол с запросами в формате XML. 
Теперь немного о процессе поиска уязвимостей
Я искал распространенные ошибки, которые допускают разработчики.Самая распространенная из них — отсутствие проверки разрешений при выполнении запроса с использованием идентификатора.
Ищем ошибки следующим образом.
Берем запрос мобильного приложения, зарегистрированный Fiddler, и воспроизводим его в браузере Google Chrome с помощью плагина Postman: 
В этом запросе мы заменяем целочисленный идентификатор на большее или меньшее значение и проверяем ответ сервера.
Если сервер возвращает ошибку или пустой запрос, то всё в порядке; если есть данные клиента, значит есть уязвимость.
Мне не пришлось долго искать.
При запросе на создание выписки не было проверки прав доступа.
Для доступа к данным использовался такой идентификатор, как cardContractId. Увеличивая или уменьшая его значение, можно было получить выписки от других пользователей.
В тот же день я отправил сообщение о найденной уязвимости через сайт Альфа-Банка, но в течение нескольких дней, не получив ответа, позвонил в службу поддержки и попросил службу безопасности связаться со мной.
К чести, сотрудник СБУ перезвонил мне в тот же день и спустя чуть больше недели уязвимость была устранена.
Однако хотелось бы обратиться к руководству подразделения банка, отвечающего за разработку программных продуктов.
Банковские сервисы активно развиваются и обрастают функционалом, в котором, хотите вы того или нет, появляются уязвимости.
Существующие каналы связи практически не отвечают на запросы в электронном виде.
Например, два моих сообщения о XSS-уязвимостях на других ресурсах Альфа-Банка, отправленные несколько месяцев назад, остались без ответа.
Организуйте отдельный канал связи для подачи запросов по найденным уязвимостям и создайте программу поощрения.
Такие программы Google, Amazon, Яндекс и даже Приватбанк существуют и они очень эффективно помогают быстро закрыть дыры в безопасности.
Не ждите, пока злоумышленники начнут использовать найденные ими уязвимости, а клиенты сообщат вам о проблемах постфактум.
Теги: #безопасность #уязвимости #Альфа-Банк #заявления #информационная безопасность
-
Быстрая И Большая Sdhc-Карта От Sandisk
19 Oct, 24
