XSS-haavoittuvuus

järkyttynyt2.0

Tein viranomaiselle hakemusta, johon liittyi maksusuoritus.

Tunnistauduin pankkitunnuksilla ja täytin hakemuksen. Maksun aika tuli ja viranomaissivusto siirsi minut verkkokaupan tapaisesti/tavoin maksunvälittäjän sivulle.

FF selaimena ja NoScript lisäosa keskeytti jatkamisen ilmoittamalla heti maksunvälittäjän sivulle siirryttäessä, että välissä on XSS Cross site scripting -haavoittuvuus
https://fi.wikipedia.org/wiki/Cross_site_scripting

Maksunvälityksenä mahdolliset olivat pankkimaksu tai luottokorttimaksu.
En päässyt etenemään hakemuksessa ellen hyväksynyt XSS:ää.

Miten todennäköisenä/mahdollisena pidätte sitä, että maksunvälittäjän sivun virhe/haavoittuvuus on tehty tarkoituksella, jotta ko. viranomainen pääsee tutkimaan hakijan pankkitilin tapahtumia ( man-in-the-middle? ) tai luottokorttimaksussa myöhemminkin tutkimaan hakijan luottokorttitapahtumia?

Tai

Miten todennäköisenä/mahdollisena pidätte sitä, että maksunvälittäjän sivulle siirron virhe/haavoittuvuus on tehty tarkoituksella, jotta ko. viranomainen pääsee syöttämään omaa koodiaan hakijan koneelle ( joka on laillista nykyään )?

Tai jotain muuta?

Aikaisemmin ainoan kerran olen kohdannut vastaavan XSS-haavoittuvuuden, kun Power-kauppa aloitti Suomessa. Teen verkkokauppaostoksia suht tiheään. Tänä vuonnakin n. 30 eri suomalaisiin kauppoihin ja ehkä 10 eri välittäjän kautta.
En tunne ohjelmointia lainkaan.

7

99

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • trollerson

      Ei pääse tutkimaan pankkitilin tapahtumia, sehän on kiinni pankin järjestelmistä.

      Jos pääsee, niin pankin järjestelmissä on paha aukko, eli oikea osoite kritiikille olisi pankki.

      Jos maksunvälittäjän systeemissä on aukko, niin ainut tietovuoto riski siinä olisi vain se maksutapahtuma, mitä olet juuri nyt tekemässä.

      XSS ongelmat voi kokonaan välttää kun tietää yhden asian:

      Käytä aina eri selainta ja mielellään eri konetta pankissa käyntiin. Etkä tee sillä selaimella / koneella mitään muuta, mitään muita välilehtiä ei pidetä auki kun ollaan pankissa ( paitsi nyt tietysti se pakollinen, josta tuli johdetuksi pankkiin) , tms. Siinä eri selaimessa ei pidetä mitään lisäosia asennettuna, koska erilaiset "ad blocker", "no script", virustorjjunta, jne. "avustaja" lisäosat itsessään ovat iso tietoturva / vakoilu riski.

      Jos tämän tekee, niin vaikka olisi miten iso XSS reikä sivulla, siitä ei ole mitään hyötyä kenellekkään.

      XSS tarkoittaa siis sitä, että olet vaikka pankissa yhdellä välilehdellä ja sinulla on sinne "sessio" auki.

      Sitten olet toidella välilehdellä jollakin höpöhöpö sivulla ( tämä toinen sivu on se, missä hyökkääjä sijaitsee ). Tämä toinen höpö sivu, jonka ei pitäisi liittyä pankkiin mitenkään, voi sisältää javascriptiä, mikä lähettää pankin sivulle jonkun pyynnön. Nyt jos pankin sivulla on aukko, se toteuttaa tämän pyynnön, vaikka se ei tullut sinulta, vaan oli toisessa höpö höpö sivu ikkunassa.

      Suomessa ainakin OP kyselee tunnuslukuja kesken vierailunkin aina vahvistukseksi, niin rahan menetys tämmöisen aukon takia olisi vähän vaikeampaa, toki kaikki on mahdollisa. Jotakin tilitietoja ehkä voisi mennä. Mutta siis, aukon pitäisi olla pankin järjestelmässä, eli maksunvälittäjän sivulla oleva aukko ei riitä, ja miten luotettava tuo "analyysi" ko. aukosta edes on. On kuitenkin hyvin tunnettu tietoturvaongelma kyseessä, mikä on oikeilla käytännöillä hyvin helposti vältettävissä.

      Enempi ihmetyttää, että luotat tuollaisiin "No Script" lisäosiin, mistä et tiedä kuka ne on tehnyt ja kuka niitä ylläpitää. Pankissa kun käyt, jos turvallisuuden haluat maksimoida, sinulla ei pitäisi olla mitään lisäosia päällä ja mielellään tosiaan oma selain pankissa käyntiä varten, vielä parempi, oma kone koko hommaan. Silloin haitalliset sivut taustalla, eivät vaikuta pankkiasiointiin, ja koneen riski saastua laskee, kun sitä käytetään vain rajatulla alueella.

      Selain lisäosat on aika iso tietoturvariski, vaikka toki erityisen törkyisillä sivuilla asioitaessa jokin No Script voi olla jollakin tavalla hyödyllinen.

      Pankin sivulla sitä ei kuitenkaan tarvita, koska asioit pankin järjestelmässä ja siis luotat heihin joka tapauksessa jo. Silloin tämmöinen lisäosa selaimessa on itse enempi riski kuin suoja.

    • trollerson

      Tämmöinen tietoturvasaarna tällä kertaa. ;)

      Tietoturva asioissa näköjään siis pätee vanha periaate; Pessimisti ei pety. Kaikista varminta kun ei luota kehenkään.

    • Anonyymi

      ><script>alert("123")</script>

      • Anonyymi

        Käytät harvinaisen selkeää ja hyvin perusteltua ilmaisua............


    • Anonyymi

      Jos skriptaus-ohjelmaan on tehty gludge, jolla se on saatu ilmoittamaan ongelmasta - ongelma on luultavasti todellinen. Ainoa tapa välttyä hyökkäykseltä on käyttää selainta, jolta ei ole tehty ainoatakaan sivuhakua aikaisemmin. Tämän lisäksi joutuu kyllä luottamaan pankin ja palveluntarjoajan järjestelmiin - että ne eivät ole saastuneita. Käytännössähän tuo tarkoittaa, että jos olet vieraillut sivulla, joka on asentanut yhteiskäyttöskriptin tarkkailemaan tuota väliä, ei mikään välillä välitetty tieto pysy salassa.
      Itse jättäisin em. rahasuoritteen tekemisen suosiolla verkkopankin puolelle eli jos ainoa vaihto maksaa on tuollainen pili-pali palvelu - ei ehkä syytä ole käyttää em. palvelua edes pakon edessä. Mutinaa siitä voi tulla, mutta yleensä rahan ahneus vie voiton ja ongelma kuitenkin saadaan järjestettyä.

    • Anonyymi

      Vahinko, ettei tässä anneta mitään yksityiskohtia mahdolliseen XSS -haavoittuvuuteen.

      Ei ole myöskään todisteita siitä, onko edes kyse XSS -haavoittuvuudesta, vai tulkitseeko tuo NoScript -laajennus sinänsä normaalin toiminnan epäillyksi haavoittuvuudeksi.

      Periaatteessahan nuo verkkomaksut toimivat näin (huom: valtion tapauksessa asia on mutkallisempi, koska mikään valtion palvelu ei itse suoraan ohjaa verkkopankkiin maksamaan, vaan valtio käyttää omistamaansa suomi.fi -palvelua "välimiehenä" eli valtion muu palvelu ohjaa suomi.fi joka edelleenohjaa pankin sivulle):

      1. Kauppiaan järjestelmä on valmis vastaanottamaan verkkopankkimaksun

      2. Kauppiaan järjestelmä ohjaa pankin sivulle räätälöidyllä linkillä, joka sisältää tiedot maksettavasta summasta ja muistakin maksun yksityiskohdista, sekä lisäksi tarkistesumman, jonka laskemiseen on käytetty sekä maksutapahtuman tietoja että kauppiaan ja pankin "jaettua salaisuutta", jota asiakas ei tiedä.

      Koska tuota "jaettua salaisuutta" ei milloinkaan siirretä tietoliikenneyhteyttä pitkin (ei edes salattuna), ei asiakas voi vakoilemalla saada siitä kopiota itselleen.

      3. Pankin järjestelmä kysyy asiakastunnuksen, kiinteän salasanan ja vaihtuvan salasanan avainlukukortilta, ja nykyaikaan vielä tekstiviestillä lähetetyn vahvistuskoodin

      4. Jos kaikki kohdan 3 tiedot olivat oikein, pankki maksaa asiakkaansa tililtä ko. maksusuorituksen, ja genereroi vastausdatapaketin, jonka mukana tarkistussumma, jonka laskennassa käytettiintapahtuman tietoja sekä pankin ja kauppiaan välistä jaettua salaisuutta.

      5. Asiakkaan selain saa tuon vastausdatapaketin, ja välittää sen edelleen myyjän tietojärjestelmään

      6. myyjän tietojärjestelmä tarkistaa vastausdatapaketin sisällöstä, että oikea maksun suuruus, oikealle tilille ja oikealla viitenumerolla on maksettu, ja laskee myös tuon vastausdatapaketin tarkisteen JA varmistaa, että se on sama kuin asiakkaan selaimelta saatu. JOS se täsmää, myyjä voi luottaa siihen, että maksu on todella maksettu.

      6b. JOS tarkiste ei täsmää, kyse on joko hyvin harvinaisesta tietoliikennevirheestä ( 1/65536 -OSA KAIKISTA tietoliikennevirheistä johtaa tähän tilanteeseen) tai siitä, että kyseessä on väärinkäyttöyritys, jossa joku yrittää vain teeskennellä maksaneensa.

      Koska tuossa tietoa siirrellään edestakaisin pankin, myyjän tietojärjestelmän ja asiakkaan selaimen välillä, on hyvinkin mahdollista, että NoScript virheellisesti tunnistaa tämän sinänsä aivan asiallisen tiedonsiirron mukamas haavoittuvuudeksi.

      • Anonyymi

        NoScriptin asetuksissa on Advanced-välilehdellä asetus "Sanitize cross-site suspicious requests", joka on oletuksena päällä.


    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Luetuimmat keskustelut

    1. Ensitreffit Jenni laukoo viinilasin ääressä suorat sanat Jyrkin aikeista: "Mä sanoin, että älä"

      Voi ei… Mitä luulet: kestääkö Jennin ja Jyrkin avioliitto vai päättyykö eroon? Lue lisää: https://www.suomi24.fi/viihde
      Ensitreffit alttarilla
      21
      2586
    2. Mitä ajattelit ensimmäisenä kaivatustasi

      kun näit hänet?
      Ikävä
      148
      2244
    3. Ymmärrän paremmin kuin koskaan

      Roikut kädessäni ja vedät puoleesi. Näen kuitenkin tämän kaiken lävitse ja kaikkien takia minun on tehtävä tämä. Päästän
      Tunteet
      29
      2222
    4. Hullu liikenteessä?

      Mikä hullu pyörii kylillä jos jahti päällä? Näitä tosin kyllä riittää tällä kylällä.
      Kiuruvesi
      52
      2129
    5. Niina Lahtinen uudessa elämäntilanteessa - Kotiolot ovat muuttuneet merkittävästi: "Nyt on...!"

      Niina, tanssejasi on riemukasta seurata, iso kiitos! Lue Niinan haastattelu: https://www.suomi24.fi/viihde/niina-lahti
      Suomalaiset julkkikset
      21
      1722
    6. Kun Venäjä on tasannut tilit Ukrainan kanssa, onko Suomi seuraava?

      Mitä mieltä olette, onko Suomi seuraava, jonka kanssa Venäjä tasaa tilit? Ja voisiko sitä mitenkään estää? Esimerkiks
      NATO
      387
      1613
    7. Ano Turtiainen saa syytteet kansankiihoituksesta

      Syytteitä on kolme ja niissä on kyse kirjoituksista, jotka hän on kansanedustaja-aikanaan julkaissut Twitter-tilillään
      Maailman menoa
      96
      1546
    8. Pyhäinpäivän aamua

      Oikein hyvää huomenta ja rauhallista päivää. ❄️😊🥱☕❤️
      Ikävä
      288
      1436
    9. Varokaa! Lunta voi sataa kohta!

      Vakava säävaroitus Lumisadevaroitus Satakunta, Uusimaa, Etelä-Karjala, Keski-Suomi, Etelä-Savo, Etelä-Pohjanmaa, Pohjanm
      Maailman menoa
      13
      1389
    10. Kunta ostaa kivitipun

      Kunnanjohtajan tuleva uusi ostokohde
      Lappajärvi
      132
      1379
    Aihe