PDA

View Full Version : internet bankarstvo zaba - sramota


Anonimus1628
13.10.2011., 15:07
bok svima!

htio bi s vama podjeliti jednu sramotu o kojoj sam obavijestio manje više se popularne medije iako sumnjam da će o tomo pisati budući da su prezauzeti produkcijom žute štampe.

Naime, kopao sam malo po internet bankarstvu zabe za građane i otkrio da se već na početnoj stranici: https://www.zaba.hr/ebank/gradjani/Prijava
downloada javascript u kojem je dostupan kod za prijavu i validaciju kao i ostale stvari.
Tj. dostupan je kod koji bi se po svim načelima korporativne sigurnosti(a pogotovo bankarske sigurnosti) trebao izvršavati na serverskoj strani a nikako na klinetskoj. Opisat ću vam o čemu se radi:
Dakle, odete na internet bankarstvo za fizicke osobe: https://www.zaba.hr/ebank/gradjani/Prijava

Zatim na bijeloj povorsini pored teksta kliknete desnim gumbom miša i odaberete 'View page source'.
Nakon toga se u novom prozoru otvori kod stranice. Klinknite na link unutar:
<frame src="/ebank/gradjani/InnerLogin.jsp?AppIdentifikator=0&KioskVersion=0" name="Login" id="Login" title="Login" />.

Nakon što kliknete na taj link dobijete novi prikaz koda među kojima je najzanimljiviji onaj pod linkom:

<script type='text/javascript' src='/ebank/gradjani/JavaScript/Utils.js?v=1-15.25'></script>

U tom kodu je dostupan algoritam za prijavu, i vide se zakomentirani dijelovi koda tipa "Ovo smo zakomentirali dok ne otkrijemo gresku" i slicno.

Po meni je ovo van svake pameti, da banka takve reputacije ljudima daje ovakve poluproizvode i naplacuje tako masno za svoje usluge.

Da me se razumije, ne radi se ovdje o mojoj paranoji da će netko hakirati aplikaciju i uzet mojih bijednih 274,67 kuna (koliko imam na računu:lol:) već o tome da nam naplacuju uslugu koja je ispod svakih standarda...

molim, ispravite me ako grijesim

bashd
13.10.2011., 18:32
Nije mi jasno na šta konkretno se žališ ovdje? Što nisu uklonili komentare?

Anonimus1628
13.10.2011., 18:45
Tj. dostupan je kod koji bi se po svim načelima korporativne sigurnosti(a pogotovo bankarske sigurnosti) trebao izvršavati na serverskoj strani a nikako na klinetskoj.

mislim da sam gore prilicno jasno napisao, koji dio ne razumijes?
Jesi provjerio to sto sam napisao, ili komentiras tek tako?

Ako jesi, da li je po tebi normalno da se na klijentskoj strani downloada javascript u kojemu se izvodi algoritam za prijavu, validaciju tj. jel normalno da je svakome dostupan kod koji
prestavlja logiku prijave u aplikaciju?

bashd
13.10.2011., 18:53
Normalno je da na klijentskoj strani stoji javascript koji vrši validaciju unesenih podataka.
Validacija != autentikacija!

Anonimus1628
13.10.2011., 19:05
tebi je ovakav kod normalan:

//ulazni podaci su datumi u obliku dd.mm.gggg. , oznaka da li kontroliramo prošlost ili budućnost
//te oznaku koju vrstu perioda kontroliramo (običan datum: 0, datum zaprimanja: 1 ili datum izvršenja: 2)
function checkPeriod (earlierDate, laterDate, history, tipValidacije) {

var dateType="";
var errMsg="";

//privremeno maknuta kontrola vremenskog razdoblja dok se ne otkrije pogreška
return errMsg;

switch (tipValidacije) {
case 0: dateType=" ";break;
case 1: dateType=" zaprimanja ";break ;
case 2: dateType=" izvr\u0161enja ";break ;
default: dateType=" ";
}//end of switch

//alert ("Usao u checkPeriod");
//alert ("errMsg.length="+errMsg.length);

//ako su oba polja prazna onda je sve u redu
if (earlierDate.length==0 && laterDate.length==0)
return errMsg;

if (history) {
//ako je prvo polje puno
if (earlierDate.length>0 && daysDateDifference(new Date(),convertStrDateToDate(earlierDate))<0)
errMsg+="Po\u010Detni datum"+dateType+"ne smije biti ve\u0107i od dana\u0161njeg datuma. \n";

//if (laterDate.length>0 && daysDateDifference(new Date(),convertStrDateToDate(laterDate))<0)
// errMsg+="Zavr\u0161ni datum"+dateType+"ne smije biti ve\u0107i od dana\u0161njeg datuma. \n";

} //kraj od history

Koliko ja znam, svaka java web bazirana aplikacija čak i validaciju vrši na serverskoj strani, pogotovi budući da je u pozadini neki framework kao Spring koji to vrlo jednostavno omogućava...

bashd
13.10.2011., 19:19
Da, validacija se vrši na serverskoj strani obavezno, naravno. Ali može prije toga i na klijentskoj, što se često i radi.

Kontkretno, ovo što si kopirao:
Očito imaš neka polja gdje biraš od kojeg do kojeg datuma želiš prikazati neki "history". Javascript ti jednostavno prikazuje grešku ako izabereš datum veći od današnjeg.

Kod je sasvim normalan.

ex_1
13.10.2011., 19:31
Onda daj ti bolje rijesenje i posalji i trazi milijon dollara ha sto kazes na to.Pa to svaka web stranica ima samo sto ovdje pise na hrvatskom jeziku.Kad sam otvorio ovo i vidio odmah sam mislio da si uspio doci do unesenih podataka a ti nasao obicnu skriptu.Odi na chat.net.hr,odi bilo koji chat i pogledaj doci ces do parametra kojeg hoces to je nista.

ex_1
13.10.2011., 19:33
<applet codebase="http://cgs.net.hr/chatp" archive="bcclient.jar" code="bubble.chat.client.ChatApplet" width="756" height="500" style="padding: 0px; margin: 0px;">
<param name="userName" value="::registered">
<param name="password" value="">

<param name="icon" value="">
<param name="port" value="10003">
<param name="messages" value="msg-img.txt">
<param name="initialRoom" value="Predvorje">
<param name="roomList" value="Predvorje;Zagreb;Dalmacija;Istra;Slavonija;Međimur je;Teen;Batak ili bitak;Metal;Dubrovnik;Varaždin;Đakovo;Koprivnica;K utina">
<param name="adminGui" value="false">
<param name="showLogin" value="true">
<param name="showAnonLogin" value="false">

Anonimus1628
13.10.2011., 19:51
Odi na chat.net.hr,odi bilo koji chat i pogledaj doci ces do parametra kojeg hoces to je nista.

a jesi mi našo pravi site uspoređivat..net.hr = fušeraj na kvadrat.

ovdje govorimo o jednoj banci koja se busa kako miljone ulaze u razvoj internet bankarstva...iz prve ruke znam da preko ovako aljkave implementacije revizija ne bi prešla a vi pričajte što hoćete...

kao da radite za navedenu banku :D

ex_1
13.10.2011., 20:04
Onda pogledaj pbz pa ces vidjeti isto nekuzim to nije greska drugacije da postavljaju kad je ovako jednostavnije.Jedno da ti izmjenis kod sa firebug i on recimo radi e to je greska.Ima dosta slabijih web stranica koje kod obicne izmjene radi a nebih smjelo nikako

Anonimus1628
13.10.2011., 20:09
pa i gledao sam pbz net. Njihov kod je do ovog kao apoteka...oni jedino u javascriptu provjeravaju koji browser klijent korisit...

ex_1
13.10.2011., 20:13
pa i gledao sam pbz net. Njihov kod je do ovog kao apoteka...oni jedino u javascriptu provjeravaju koji browser klijent korisit...

Ah jebiga sto da kazem malo vise web masteri paznje i nema probljema.Recimo kod registracije na neki forum pogledaj source i ja sam na jednom forumu stavio da sam iz pick m i da imam 3000 godina znaci da je site xss ranjiv kad dopusta banalno... :confused: necemo dalje

Anonimus1628
13.10.2011., 20:19
slazem se, dokle god usporedjujemo kruske i jabuke nema smisla nastavljat, ja se povlacim:rolleyes:

50ME1
13.10.2011., 22:10
pa definitivno je navedeni kod sramotan za takvu kompaniju al nije nešto sigurnosno specijalni propust (bar ne očiti), no baš fino prikazuje kakvih sve 'programera' ima...završio za limara, nakon 6 mjeseci radi na CMS-u jer zna napraviti formu u htmlu...
Google Page Speed (https://developers.google.com/pagespeed/#url=http_3A_2F_2Fwww.zaba.hr_2F&mobile=false)
W3C Validation (http://validator.w3.org/check?uri=http%3A%2F%2Fwww.zaba.hr%2Fhome%2Fwps%2F wcm%2Fconnect%2Fzaba_hr%2Fzabautils%2Fnaslovnica%2 F&charset=%28detect+automatically%29&doctype=Inline&group=0)

Anonimus1628
14.10.2011., 08:19
pa definitivno je navedeni kod sramotan za takvu kompaniju al nije nešto sigurnosno specijalni propust (bar ne očiti), no baš fino prikazuje kakvih sve 'programera' ima...završio za limara, nakon 6 mjeseci radi na CMS-u jer zna napraviti formu u htmlu...
Google Page Speed (https://developers.google.com/pagespeed/#url=http_3A_2F_2Fwww.zaba.hr_2F&mobile=false)
W3C Validation (http://validator.w3.org/check?uri=http%3A%2F%2Fwww.zaba.hr%2Fhome%2Fwps%2F wcm%2Fconnect%2Fzaba_hr%2Fzabautils%2Fnaslovnica%2 F&charset=%28detect+automatically%29&doctype=Inline&group=0)

pa upravo o tome pricam cijelo vrijeme, nisam rekao da postoji direktna opasnost, samo da je sramota za takvu kompaniju koja nam uzima masne naknade uz opravdanje da konstantno trosi miljone na poboljsanje kvalitete internet bankarstva...

mogu ja razumijet da tamo neki programer u danom trenutku nešto sfuša tek toliko da radi, ali zamislite tek njegegove nadređene, voditelje, šefove i quality assourance tim koji odobra ovakve implementacije u produkciji?!? mislim da to sve govori...

od kolege čija firma dosta outsourc-a po tim bankama sam čuo da im aplikacije nemaju up-time veći od 20h, non stop se serveri moraju restartati zbog memory leak-ova, locokova na bazi i sličnih sranja...

Sauron_zg
14.10.2011., 12:28
pa upravo o tome pricam cijelo vrijeme, nisam rekao da postoji direktna opasnost, samo da je sramota za takvu kompaniju koja nam uzima masne naknade uz opravdanje da konstantno trosi miljone na poboljsanje kvalitete internet bankarstva...

Nisi rekao? Quote tov prvog posta:
Tj. dostupan je kod koji bi se po svim načelima korporativne sigurnosti(a pogotovo bankarske sigurnosti) trebao izvršavati na serverskoj strani a nikako na klinetskoj.

Tu si počeo pričati o nećemu što nema nikakve veze sa sigurnošću aplikacije... Drugo, očito nemaš baš iskustva kad se do sad nisi susreo sa validacijom i na klijentskoj strani pa ti je to tako nepojmljivo da zašto netko ne bi htio svaki put kontaktirati server za provjeru datuma? Koja glupost jelda?

I na kraju krajeva, zar ti stvarno misliš da su bankarski sustavi sigurni i da ih pišu ne znam kakvi stručnjaci (pogotovo kod nas)? :lol:

puls
14.10.2011., 12:46
I na kraju krajeva, zar ti stvarno misliš da su bankarski sustavi sigurni i da ih pišu ne znam kakvi stručnjaci (pogotovo kod nas)? :lol:

Ja dosad nisam cuo za neku provalu u bankarski sustav kod nas, a bilo je pokusaja. To znaci da su ti sustavi dosad bili sigurni i trenutno jos jesu. Kad netko uspije nesto provaliti, onda cemo vidjeti koliko su stvarno sigurni.

puls
14.10.2011., 12:50
a jesi mi našo pravi site uspoređivat..net.hr = fušeraj na kvadrat.

ovdje govorimo o jednoj banci koja se busa kako miljone ulaze u razvoj internet bankarstva...iz prve ruke znam da preko ovako aljkave implementacije revizija ne bi prešla a vi pričajte što hoćete...

kao da radite za navedenu banku :D

Internet bankarstvo ZABE radi izvrsno. Barem ono sto se vidi na korisnickoj strani. Koja revizija ne bi presla preko ovakve implementacije? Ovo je nesto sasvim uobicajeno sto se koristi kod validacije.

zvonem
17.10.2011., 14:31
ma, pričaju pizdarije. sustavi su sigurni i točka.
ako netko govori suprotno neka dokaže i provali u sustav :p

što se tiče same aplikacije i mogućnosti, o tome ne mogu baš govoriti jer nisam klijent zabe, al ono što sam ukratko vidio radi sasvim ok.

i da, te sustave itekako pišu stručnjaci što kod nas, a sigurno imaju i dobru suradnju i sa stručnjacima iz svojih središnjica. prevelike su to banke i posluju u masu zemalja da bi si dopustiti ozbiljne sigurnosne propuste. tako da kod sigurno prolazi rigorozne kontrole, pogotovo onaj koji se nalazi na poslužiteljima..

schnitzl
24.04.2012., 19:16
Evo pitanje za vas koji se kužite u ovu tematiku.

Naime, ide mi užasno na živce što nema mogućnosti otplaćivanja i smanjivanja glavnice kredita preko internet bankarstva.

Službenica u banci kaže da oni ne znaju da li ja želim smanjiti anuitet ili rok otplate što po meni ne bi trebao biti problem tj. ubaciti u sučelje dodatni izbornik.

Jel to stvarno neki problem za ubaciti ili da se jednostavno pomirim s činjenicom da im nije u interesu pojednostaviti proces.