| Главная » Статьи » О Безоапсности |
Сегодня мы опубликовали новость о предупреждении Центрального Банка России о значительном числе фишинговых сайтов. Одновременно, специалисты ЦентроБанка опубликовали список адресов
официальных сайтов банков России, очевидно для того, чтобы клиенты
банков могли "сверить" фишинговые адреса с настоящими. Безусловно,
наличие официальной информации о реальных адресах - весьма
полезно. Однако, ирония судьбы заключается в том, что сам ЦентроБанк
допустил точно такую же ошибку, как компания Sun, в истории описанной нами вчера! Если вы внимательно посмотрите на список на сайте ЦБ, то несомненно
увидите, что ссылки на адреса банков реализованы не в виде прямых
гиперссылок, но через специальный скрипт CoSiteRedirect.asp. http://www.cbr.ru/credit/CoSiteRedirect.asp?ref= Мы попробовали подставить в данную ссылку адрес Securelist и увидели следующую картину:
Прекрасно, не так ли ? Скрипт не только не проверяет передаваемые
параметры и способен переадресовывать на любой сайт, но еще и
генерирует страницу, фактически подтверждающую "легальность" сайта на
который идет переход! "Сайт кредитной организации", и это на сайте
ЦентроБанка России!
Налицо серьезная уязвимость на сайте, которая может быть использована не только фишерами.
Честно говоря, даже не хочется писать очередные слова о социальной
инженирии, об ошибках разработчиков, о проблемах уязвимостей. Оставим
это все без комментариев.
Запомните только одно - верить в Интернете нельзя никому.
Источник: http://www.securelist.com/ru/ | |
| Просмотров: 551 | | |
| Всего комментариев: 0 | |