20 Января, 2012

VolksBank ZU Application - обход авторизации, защищенность банковских приложений

Андрей Комаров
В составе одного из WEB-приложений Volksbank, использующегося в сфере Интернет-банкинга, была обнаружена критическая уязвимость, позволяющая осуществить обход процедуры авторизации клиента. Злоумышленник может осуществить проникновение, заполучив всю информацию о клиентах системы, ее настройки и многое другое. По заявлению разработчика, данная уязвимость была исправлена.

Тем не менее, повторная проверка показала повторное наличие уязвимости, но уже в другом фрагменте, при схожей сложности эксплуатации:

$username = mysql_real_escape_string($_POST[ username ]);
$password = mysql_real_escape_string($_POST[ password\\\"]);
$sql = \\ SELECT * FROM users WHERE username=  . $username . \\ AND password=  . $password . ``;
$response = mysql_query($sql);
или введите имя

CAPTCHA
true
20 Января, 2012
откуда информация?
0 |
Student
21 Января, 2012
Уязвимость
Если вас не затруднит, обьяснить как эксплоитруется эта уязвимость, либо ее суть в кртаце. мне очень интересно. и зачем ставится три слэйша в password?
0 |