Tips & Tricks di sicurezza informatica
Prima che una banca decida di mettere online un sito internet effettua i test di sicurezza a 360 gradi per proteggere le proprie risorse informatiche o pensa che prendere precauzioni sofisticate effettuando controlli di ogni sorta sia solo una perdita di tempo?
Non basta esser muniti di un protocollo SSL che cifri la comunicazione delle informazioni per sentirsi in una botte di ferro e trascurare il resto, una semplice svista di programmazione può arrecare seri danni!
MPS noo è l'unica banca online vulnerabile questo tipo di attacco.
Udpate:
Chi segue da tempo questo blog avrà capito di cosa si tratta, gli screenshots parlano chiaro:
- xss
Il 29 settembre ho scritto a MPS fornendo tutti i dettagli, la risposta è stata immediata (non automatica): ..il servizio tecnico ne terrà conto nelle fasi di sviluppo e manutenzione del servizio.
Sono passati 26 giorni e non è cambiato nulla, tutte le richieste dall'esterno continuano ad esser erroneamente validate, e questi sono i risultati attuali.
uhmm... :-)
Ho indicato nell'update quali sono le vulnerabilità e ho specificato che non si tratta solo di MPS. Non c'è nulla di personale contro MPS ma è l'unica banca che ho contattato e nonostante ciò nulla è cambiato.
Non è stato utilizzato nessuno strumento, sono solo codici iniettati nella form di ricerca che utilizza il "method post" e non filtra le richieste degli script pericolosi.
Non mi sembra corretto indicare chiaramente il codice degli script utilizzati anche se di queste cose ne abbiamo (stra)parlato diverse volte nei post precedenti.
Html injection, Sql injection e XSS - ho inserito anche i link per la ricerca interna a Exploit, se volete approfondire l'argomento utilizzate Google troverete tutte le risposte ai vostri dubbi.
nn ho capito l'utilita' di qst post... serve solo a sputtanare MPS o si vuole parlare di qualcosa....
quelli screenshot li posso fare anch'io con gimp, sarebbe piu' utile se mettessi qualche link verso gli strumenti usati, cosi' magari testo il servizio della mia banca. Altrimenti tanto vale che mi leggo su repubblica.it qualche articolo che terrorizza et stop
Grazie delle precisazioni nell'update.
Il fatto è che postando solo gli screenshot, il post assumeva le caratteristiche di un mail fra addetti ai lavori, mentre un post di un blog dovrebbe avere un carattere più autoconsistente. Sarebbe bastato citare il tipo di attacco (così mi rispondevo da solo cercando su google o su wikipedia, rendendomi conto da solo che l'ignoranza era mia), magari linkando direttamente alla wikipedia.
Io seguo da tempo questo blog, ma non per questo sono un esperto al pari vostro, e il seguire questo blog voleva appunto essere l'occasione per tenermi aggiornato ed imparare cose.
E devo dire che all'inizio questo blog aveva (anche) questo carattere. Ultimamente ha un po' cambiato spirito...
Mi spiace.
:| no comment ... dico solo "totalmente fuori etica", non me ne vogliate ! Poteva essere benissimo risolto in separata sede !
Articolo molto interessante!
Anche a me interesserebbe molto approfondire: conosci qualche link che permette di effettuare qualche controllo di vulnerabilità!?
Mi occupo infatti di E-Banking per una grossa banca del centro-italia e mi piacerebbe testare il sistema di Internet Banking per correggere eventualemente tutte le insicurezze di questo prodotto.
(se ci son problemi puoi anche contattarmi in pv!)
Molto interessante. Qualcuno conosce qualche link che permette di fare un controllo sulla vulnerabilità dei siti?
Ma di che attacco si tratta? Cos'hai fatto, di preciso? Cos'ha prodotto quegli errori di cui alleghi screenshot? Delle ricerche con queri "html-like"? "script-like"?
Che brutto stile, questo post... :-(
Interessante, visto che sempre più consumatori si affidano al mezzo web come unico approccio alla propria banca... (me compreso).
Vorrei approfondire meglio questo aspetto fondamentale, qualcuno sa indicare qualche link utile di verifica?
Blogosfere è il più grande network italiano di blog professionali d'informazione.
Qui puoi trovare le ultime news su cronaca, politica, economia, cultura, scienze, tecnologia, spettacoli, moda, sport, motori, viaggi e cucina prodotte in perfetto stile multimediale.
Blogosfere Srl socio unico
P. IVA 05221970964
Sede legale: Via Pordenone 8 20132 Milano
REA n. 1804860
Privacy
Condizioni di utilizzo
Copyright © 2005-2012 Blogosfere
Quest'opera è pubblicata
con licenza Creative Commons
Attribution - Non commercial - No derivates
Per informazioni pubblicitarie e progetti speciali su Blogosfere (media brand del gruppo Populis) contattare la concessionaria pubblicitaria del gruppo, Populis Engage
alle 17:19
Brivio Stefano
Mamma mia quante critiche, sino ad oggi non avevo letto i commenti a questo post, ma onestamente alcuni mi sembrano eccessivamente severi !!