back

Аудит безпеки у банку

Метою проекту була перевірка, чи може хакер проникнути до внутрішньої мережі банку зовні. Проект виконувався методом чорного ящика (Black-box), тобто без надання доступу клієнтом. Наші тестувальники використовували найактуальніші та найсучасніші техніки для проникнення в клієнтську мережу.

HIRE US
back

Деякі проблеми безпеки, що ми виявили:

  • Детальне повідомлення про помилку в додатку Інтернет-банкінга. Ця помилка полегшила віддалене виконання коду ін'єкції Spring Expression Language (EL).
  • Віддалене виконання коду через застарілу версію фреймворку Spring.
  • Пряме посилання на об'єкт для платіжних реквізитів клієнтського рахунку (використовується для здійснення банківського переказу). Хоча платіжні реквізити є загальнодоступними, простий перелік дозволив ідентифікувати всіх клієнтів банку.
  • Порушення в поводженні з програмою KYC (Know your customer). Мобільні телефони клієнтів були перевірені за допомогою SMS, однак не було впроваджено ніякого захисту від brute-force, тобто можливо було знайти правильний код перевірки з SMS й прив'язати мобільний номер телефону до акаунту користувача.
  • Використання слабкого набору шифрів TLS, що є порушенням вимог PCI-DSS.

Рекомендовані приклади проектів

Внутрішній пентест PCI-DSS
Реагування на інцидент
This website uses cookies to give you the best experience. Terms & Conditions