Natrag   Forum.hr > Informatička tehnologija > Internet > Web development

Web development Programiranje, dizajn, hosting i sve ostalo vezano uz razvoj web siteova

 
 
Tematski alati Opcije prikaza
Prev Prethodni post   Sljedeći post Next
Old 13.10.2011., 17:07   #1
internet bankarstvo zaba - sramota

bok svima!

htio bi s vama podjeliti jednu sramotu o kojoj sam obavijestio manje više se popularne medije iako sumnjam da će o tomo pisati budući da su prezauzeti produkcijom žute štampe.

Naime, kopao sam malo po internet bankarstvu zabe za građane i otkrio da se već na početnoj stranici: https://www.zaba.hr/ebank/gradjani/Prijava
downloada javascript u kojem je dostupan kod za prijavu i validaciju kao i ostale stvari.
Tj. dostupan je kod koji bi se po svim načelima korporativne sigurnosti(a pogotovo bankarske sigurnosti) trebao izvršavati na serverskoj strani a nikako na klinetskoj. Opisat ću vam o čemu se radi:
Dakle, odete na internet bankarstvo za fizicke osobe: https://www.zaba.hr/ebank/gradjani/Prijava

Zatim na bijeloj povorsini pored teksta kliknete desnim gumbom miša i odaberete 'View page source'.
Nakon toga se u novom prozoru otvori kod stranice. Klinknite na link unutar:
<frame src="/ebank/gradjani/InnerLogin.jsp?AppIdentifikator=0&KioskVersion=0" name="Login" id="Login" title="Login" />.

Nakon što kliknete na taj link dobijete novi prikaz koda među kojima je najzanimljiviji onaj pod linkom:

<script type='text/javascript' src='/ebank/gradjani/JavaScript/Utils.js?v=1-15.25'></script>

U tom kodu je dostupan algoritam za prijavu, i vide se zakomentirani dijelovi koda tipa "Ovo smo zakomentirali dok ne otkrijemo gresku" i slicno.

Po meni je ovo van svake pameti, da banka takve reputacije ljudima daje ovakve poluproizvode i naplacuje tako masno za svoje usluge.

Da me se razumije, ne radi se ovdje o mojoj paranoji da će netko hakirati aplikaciju i uzet mojih bijednih 274,67 kuna (koliko imam na računu) već o tome da nam naplacuju uslugu koja je ispod svakih standarda...

molim, ispravite me ako grijesim
Anonimus1628 is offline  
Odgovori s citatom
 


Tematski alati
Opcije prikaza

Kreni na podforum




Sva vremena su GMT +2. Trenutno vrijeme je: 16:57.