苹果彩票注册


您当前的位置:苹果彩票注册->业界动态

热点资讯

热卖产品


  • 云安虚拟化数据中心监控管理方案

  • DSX-8000 CH线缆认证分析仪

  • OptiView XG 网络分析平板电脑

  • DSX-5000线缆认证分析仪
  • 苹果彩票注册
    DSX-600 CableAnalyzer™
银行大盗——通过几行代码盗取250亿美元

2016-05-19        明辰小编

近日,国外一名安全专家发现了一个存在于银行客户app中的高危安全漏洞。该漏洞攻击者从印度最大的银行中盗窃250亿美元。

安全专家Sathya Prakash发现移动银行的App中存在一个高危漏洞,他可以利用该漏洞从银行任意客户的账户或是所有客户账户中将钱偷走。

Prakash发现了一个在移动应用中存在的普遍问题——app中存在缺乏强制性的证书锁定(Certificate Pinning),而将用户暴露于可能遭受到中间人攻击的环境中。成功利用此漏洞的攻击者可以窃听受害者网络流量并操纵受害者设备实施欺诈性活动。

“我通过安装自签名证书,成功获取了Burp的明文请求与响应。这一过程中没有进行证书锁定。考虑到这是一个移动银行的应用,缺乏证书锁定是一个极端失误。”Prakashblog中写道。

这名专家还发现了在验证进程中的一个严重漏洞,黑客可以利用此漏洞以银行客户的名义进行操作(如,转账,或访问账户余额等操作)。

“因此可以通过CURL直接调用资金转移API,从而绕过了对接收者/受益人账户进行的验证工作。我可以将钱转移到不在接收人列表中的账户,”Prakash解释道。“这仅仅需要5行代码来枚举银行客户的记录(帐户余额和存款)。”

专家称,理论上来说他能够从银行账户中窃取资金。他最初测试通过PoC代码在他自己的账户中实现交易,他通过自己的用户IDMTPIN建立了一个请求,而资金发送者账户(6245)不是他名下的账户。

仅仅13行代码,自动从银行中实现盗窃。

Prakash发现移动app中没有对资金转移等操作进行基本的信息验证(如,用户ID及交易密码(MTPIN)验证)。

在采访中,黑客对《Motherboard》解释称他的测试都成功了,并将钱从他人账户中转移到自己家庭成员的账户上。

“我在我家庭成员的账户中进行了多次测试。其中的部分账户甚至没有开通网银或者激活手机银行,”Prakash补充道,“但都成功了。”

Prakash将该漏洞上报给了金融机构及支持部门并协助专家们对漏洞进行修复。

 但出人意料的是,该银行没有因Prakash将该漏洞上报而对他进行任何奖励。

回到顶部
pk10开奖 苹果彩票注册 幸运飞艇游戏 幸运飞艇游戏 幸运飞艇游戏 幸运飞艇游戏 苹果彩票注册 幸运飞艇游戏 北京赛车pk10开奖结果历史记录 苹果彩票注册