فراموش کردم
اعضای انجمن(400) قوانین سایت مقررات انجمنها
جستجوی انجمن
سرباز ولایت (hosi )    

آخرین خبر از هک شدن حسابها بانک ملت

منبع : http://www.farhangnews.ir/content/117555
درج شده در تاریخ ۹۴/۰۱/۰۸ ساعت 19:20 بازدید کل: 269 بازدید امروز: 266
 
آخرین خبر از هک شدن حسابها بانک ملت

به گزارش فرهنگ نیوز،بانک ملت اعلام کرد: کلیه سامانه های این بانک ایمن بوده و هیچ مشکلی در خصوص امنیت سایت های بانکداری الکترونیکی آن وجود ندارد.

روابط عمومی بانک ملت پیرو اخبار منتشره برخی سایت ها در خصوص وجود حفره امنیتی در سایت های بانکداری الکترونیک بانک ملت،اعلام کرد کلیه اطلاعات مربوط به حسابها و کارتهای مشتریان بانک ملت کاملا ایمن بوده و هیچ گونه مشکل امنیتی در این خصوص وجود ندارد.


بر این اساس درگاهها و سامانه ها ی الکترونیک بانک ملت بدون هیچ نقص و ایراد فنی مانند گذشته خدمات مطلوب را در اختیار مشتریان گرامی بانک قرار می دهد .

بانک ملت همچنین با تاکید بر صحت زیر سایت های فرعی و اصلی و عملکرد صحیح سایت های پرداختهای الکترونیک، پایانه ها و درگاههای پرداخت های الکترنیک به تمامی مشتریان اطمینان داد که هر لحظه از بالاترین سطح آمادگی لازم جهت ارایه خدمات الکترونیک ایمن برخوردار بوده و به پیشگامی و سرآمدی در زمینه ارایه خدمات بانکداری الکترونیک در ایران تداوم خواهد بخشید.

پیشتر یکی از افراد دخیل در این خبر جعلی چنین نوشته بود:

{در فرآیند های اینترنت بانک ملت، لینکی تولید می شود که در انتهای آن چنین عبارتی وجود دارد: SaleOrderId=۱۳۳۳۶۸۳ . این لینک حاوی اطلاعات مربوط به تراکنش مالی است و مواردی همچون مبلغ انتقال یافته و نام کاربر را به نمایش در می آرود.

معمولا مشاهده چنین لینک هایی مستلزم ورود به حساب کاربری است، اما در بانک ملت، هر کاربری در اینترنت با داشتن لینک مذکور، می تواند اطلاعات تراکنش شما را مشاهده نماید.

اما مشکل اصلی جایی دیگر است. هر کاربر با تعویض عدد های پایانی عبارت مذکور، می تواند به لینکی جدید دست پیدا کند و از این طریق اطلاعات تراکنش دیگر کاربران را نیز مشاهده نماید.

با وجود این باگ، تنها یک اسکریپت کفایت می کند تا اطلاعات هزاران کاربر در قالب لیستی بلند بالا منتشر گردد. اسکریپت مذکور تنها کافی است اعداد ۱ تا ۹۹۹۹۹۹۹۹ را در پایان لینک مذکور، جای گذاری کند.

اما این عدد در پایان لینک تراکنش به چه منظور ایجاد شده است؟ می دانیم که تقریبا تمام برنامه ها با متغیر ها سر و کار دارند و جهت برقراری ارتباط بین کاربر و صفحات مختلف نیاز است تا چنین عدد هایی رد و بدل شود.

برای مثال اگر کاربر تراکنش شماره ۱۳۳۳۶۸۳ را انجام داده باشد و بانک قصد داشته باشد امکان چاپ سند را در اختیار او قرار دهد، باید به سیستم اعلام کند که تراکنش شماره ۱۳۳۳۶۸۳ را برای چاپ آماده سازد.

در نتیجه چنین فرآیندی، باگ مذکور به وجود می آید. اما چگونه می توان از بروز این ضعف امنیتی، جلوگیری کرد؟}
این مطلب توسط سعید کریمی. بررسی شده است. تاریخ تایید: ۹۴/۰۱/۰۹ - ۰۰:۴۶
اشتراک گذاری: تلگرام فیسبوک تویتر
برچسب ها:

1
1


لوگین شوید تا بتوانید نظر درج کنید. اگر ثبت نام نکرده اید. ثبت نام کنید تا بتوانید لوگین شوید و علاوه بر آن شما نیز بتوانید مطالب خودتان را در سایت قرار دهید.
فراموش کردم
تبلیغات
کاربران آنلاین (1)