Уязвимость в Halyk Bank (XSS)
Краткий пост про проблемы на сайтах Halyk Bank и Halyk Finance. О проблеме я сообщил Халык банку 2 недели назад.
1) www.halykbank.kz не поддерживает безопасное подключение по протоколу HTTPS. Это очень плохо для банка! Пользователи должны видеть зеленый замочек.
У вас нет способа проверить находитесь ли вы на настоящем сайте банка или нет. Учитывая уязвимости домашних роутеров, вы вполне можете стать жертвой перехвата DNS.
2) Сайт Халык банка неправильно обрабатывает параметры поиска.
XSS (cross site scripting) или межсайтовый скриптинг - это серьезная уязвимость. Простыми словами, на вашем сайте (без вашего разрешения) выполняется чужой код. То есть, кто-то может контролировать что делает или видит пользователь вашего сайта!
Результат поиска xxxxxxx”><script>alert(’hello’);</script>
XSS - это еще одна возможность для мошенников производить фишинг атаки. Например, при загрузке страницы, переписываем содержимое страницы на тэг <input> и картинку <img> (используя функцию String.fromCharCode() для маскировки).
hxxp://www.halykbank.kz/ru/search?q=xxxxxxx"><script>window.onload%3Dfunction(){document.write(String.fromCharCode(60,105,109, 103,32,115,114,99,61,39,104,116,116,112,115,58,47,47,105,46,105,109,103,117,114,46,99,111,109,47,116,113,67,100,110,51,69,46,112,110,103,39, 62))%3B}<%2Fscript>
Вы также можете вставить свою форму или iframe. Результат для пользователя.
3) Регистрация и вход на сайт Halyk Finance www.halykfinance.kz также производится по HTTP, то есть по незащищенному каналу, а значит, любой может перехватить пользовательские данные.
Вы не хотите чтобы это произошло, потому что Halyk Finance предоставляет брокерские услуги на рынке ценных бумаг.
Сертификат при переходе на HTTPS://halykfinance.kz
Надеюсь Halyk Bank и Halyk Finance скоро исправят эти проблемы (члены финансовой группы Народного банка Казахстана «Halyk Group»).