forum.opennet.ru

Составление сообщения

Исходное сообщение

"Поучительный опыт информировния банков об уязвимостях"
Отправлено opennews, 22-Апр-17 09:47

Исследоватль безопасности Уильям Энтрикен (William Entriken) поделился (https://privacylog.blogspot.ru/2017/04/what-happens-when-you...) своим опытом взаимодействия с банками, пытаясь добиться устранения уязвимости. В 2008 году Уильям обнаружил опасную уязвимость в платформе интернет-трейдинга компании Zecco (ныне TradeKing), предоставляющей доступ к торгам на бирже. Речь шла о CSRF-уязвимости, позволяющей через тег "img src" скрытно выполнить операции в web-интерфейсе Zecco, например, если не закрыт сеанс на сайте Zecco, можно без ведома пользователя инициировать покупку определённых акций.
После того, как Уильям связался с руководством Zecco, они признали наличие проблемы. Также стало известно, что ПО с этой уязвимостью используется одной из крупных розничных сетей с более чем 100 тысячами точек продаж, а инженеры подтвердили, что подобные подставные операции невозможно выделить в общем потоке легитимных транзакций. В ходе обсуждения руководство выразило беспокойство, что информация о проблеме может быть придана огласке до того, как будет устранена, упомянуло желание нанять Уильяма для содействия решению проблемы и как первый шаг попросило подписать соглашение о неразглашении, запрещающее раскрывать информацию до исправления уязвимости. Уильям подписал соглашение.
В итоге, проблема всё ещё не исправлена в 2017 году, спустя более 8 лет с момента информирования об её наличии. Проблема присутствует с 2005 года и позволяет совершить целевые атаки по проведению транзакций без ведома пользователя.
URL: https://news.ycombinator.com/item?id=14166966
Новость: https://www.opennet.ru/opennews/art.shtml?num=46427

Исходное сообщение
"Поучительный опыт информировния банков об уязвимостях" Отправлено opennews, 22-Апр-17 09:47
Исследоватль безопасности Уильям Энтрикен (William Entriken) поделился (https://privacylog.blogspot.ru/2017/04/what-happens-when-you...) своим опытом взаимодействия с банками, пытаясь добиться устранения уязвимости. В 2008 году Уильям обнаружил опасную уязвимость в платформе интернет-трейдинга компании Zecco (ныне TradeKing), предоставляющей доступ к торгам на бирже. Речь шла о CSRF-уязвимости, позволяющей через тег "img src" скрытно выполнить операции в web-интерфейсе Zecco, например, если не закрыт сеанс на сайте Zecco, можно без ведома пользователя инициировать покупку определённых акций. После того, как Уильям связался с руководством Zecco, они признали наличие проблемы. Также стало известно, что ПО с этой уязвимостью используется одной из крупных розничных сетей с более чем 100 тысячами точек продаж, а инженеры подтвердили, что подобные подставные операции невозможно выделить в общем потоке легитимных транзакций. В ходе обсуждения руководство выразило беспокойство, что информация о проблеме может быть придана огласке до того, как будет устранена, упомянуло желание нанять Уильяма для содействия решению проблемы и как первый шаг попросило подписать соглашение о неразглашении, запрещающее раскрывать информацию до исправления уязвимости. Уильям подписал соглашение. В итоге, проблема всё ещё не исправлена в 2017 году, спустя более 8 лет с момента информирования об её наличии. Проблема присутствует с 2005 года и позволяет совершить целевые атаки по проведению транзакций без ведома пользователя. URL: https://news.ycombinator.com/item?id=14166966 Новость: https://www.opennet.ru/opennews/art.shtml?num=46427

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Исследоватль безопасности Уильям Энтрикен (William Entriken) поделился (https://privacylog.blogspot.ru/2017/04/what-happens-when-you-send-zero-day-to.html) 
> своим опытом взаимодействия с банками, пытаясь добиться устранения уязвимости. В 2008 
> году Уильям обнаружил опасную уязвимость в платформе интернет-трейдинга компании  Zecco 
> (ныне TradeKing), предоставляющей доступ к торгам на бирже. Речь шла о 
> CSRF-уязвимости, позволяющей через  тег "img src" скрытно выполнить операции в 
> web-интерфейсе Zecco, например, если не закрыт сеанс на сайте Zecco, можно 
> без ведома пользователя инициировать покупку определённых акций.

> После того, как Уильям связался с руководством Zecco, они признали наличие проблемы. 
> Также стало известно, что ПО с этой уязвимостью используется одной из 
> крупных розничных сетей с более чем 100 тысячами точек продаж, а 
> инженеры подтвердили, что подобные подставные операции невозможно выделить в общем потоке 
> легитимных транзакций. В ходе обсуждения руководство выразило беспокойство, что информация 
> о проблеме может быть придана огласке до того, как  будет 
> устранена, упомянуло желание нанять  Уильяма  для содействия решению проблемы 
> и как первый шаг попросило подписать соглашение о неразглашении, запрещающее раскрывать 
> информацию до исправления уязвимости. Уильям подписал соглашение.

> В итоге, проблема всё ещё не исправлена в 2017 году, спустя более 
> 8 лет с момента информирования об её наличии. Проблема присутствует с 
> 2005 года и позволяет совершить целевые атаки по проведению транзакций без 
> ведома пользователя.

> URL: https://news.ycombinator.com/item?id=14166966 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=46427

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру