JWorld@TW the best professional Java site in Taiwan
      註冊 | 登入 | 全文檢索 | 排行榜  

» JWorld@TW » 交流、聊天、灌水  

按列印兼容模式列印這個話題 列印話題    把這個話題寄給朋友 寄給朋友   
reply to topicthreaded modego to previous topicgo to next topic
己加入精華區
by browser at 2007-05-19 01:11
本主題所含的標籤
無標籤
作者 Re:[秘技] 中國信託網路銀行嚴重安全漏洞 [Re:arthuroy]
arthuroy





發文: 106
於 2007-05-10 19:46 user profilesend a private message to userreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
關於嚴重性這點,其實這篇中有說了:

Please note that retrieving a list of valid BV_EngineIDs is trivial. Just
repeatedly close and open a browser and take a note of the value. Both the
session and engine IDs would be trivial to pick up if you knew users were
visiting www.site.com on a LAN for example. Set up a sniffer, retrieve the
IDs and hey presto! Although this is not as widespread as a number of other
website / middleware vulnerabilities, we still deem this as a large security
issue that is largely undocumented.


我個人認為: 如果我正常使用而遭受金錢上的損失,銀行願意全額賠償且不需我舉證的話,那我當然覺得 ok 囉。但是這不可能的... 銀行一定說是我把 URL 給別人的,然後要我舉證我是正常使用 (我咧~)。

所以結論是: 我可能要漸漸把資產轉到「比較」安全的銀行,至少漏洞不是這麼明顯,直接 copy URL 就可以二岸三地同步操作了。


reply to postreply to post
Self-Pity

I never saw a wild thing sorry for itself.
A small bird will drop frozen dead from a bough
without ever having felt sorry for itself.
作者 Re:[秘技] 中國信託網路銀行嚴重安全漏洞 [Re:cphunterlin]
worookie

Small Ship

版主

發文: 2092
於 2007-05-10 19:48 user profilesend a private message to userreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
cphunterlin wrote:
我有給他們這裡的網址 . 希望 ..... 希望他們有看到下面這來~


您必須主動澄清, 不該推卸責任.


reply to postreply to post
作者 Re:[秘技] 中國信託網路銀行嚴重安全漏洞 [Re:worookie]
cphunterlin





發文: 193
於 2007-05-10 19:50 user profilesend a private message to userreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
worookie wrote:
您必須主動澄清, 不該推卸責任.

有補發 email 了. thkx Smile


reply to postreply to post
我用程式語言去勾勒腦中的想像. 尤如規則的實踐家~
在指尖上散淡淡的煙草香,卻染上法律、資訊、人脈和熱情 ~
作者 Re:[秘技] 中國信託網路銀行嚴重安全漏洞 [Re:arthuroy]
arthuroy





發文: 106
於 2007-05-10 19:55 user profilesend a private message to userreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
謝謝大家好心的協助,如果造成大家的困擾,好像也只能說一聲「對不起」還有...「謝謝」。

... 我等著被告「毀壞商譽,求償一億」 XD


reply to postreply to post
Self-Pity

I never saw a wild thing sorry for itself.
A small bird will drop frozen dead from a bough
without ever having felt sorry for itself.
作者 Re:[秘技] 中國信託網路銀行嚴重安全漏洞 [Re:arthuroy]
arthuroy





發文: 106
於 2007-05-10 20:03 user profilesend a private message to userreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
網路銀行帳戶遭盜領 業者:若客戶沒盡保密責任,不賠付
【東森新聞報/記者郭羿婕/台北報導】2007/04/27

網路金融詐騙猖獗,一位林姓男子的中國信託網路銀行帳戶遭盜領140萬餘元,金管會銀行局指出,依照規定,除非銀行證實客戶故意或過失,否則應先賠付;中國信託商銀表示,假如確定是機制所造成的錯誤或因木馬程式而被盜領,他們會負起責任,但若為客戶沒盡責保密帳號、密碼等,則不在賠償之列。

網路銀行遭盜轉案例時有所聞,國民黨立委賴士葆27日上午請受害者現身說法,林先生指出,他在中信商銀開設的網路帳戶,2月16日到19日期間遭歹徒利用OPT非約定轉帳機制,盜轉16筆款項,無故損失逾140萬元,銀行卻以警察機關正在調查為由,讓他平白蒙受損失。

面對這種情況,金管會銀行局二組副組長許維文表示,根據個人網路銀行業務服務定型化契約範本,除非銀行證實客戶故意或過失,否則應先賠付,再報請檢調和警察單位調查處理,釐清責任。

中國信託商銀金融總管理運籌資訊處長羅宏瑜回應,網路銀行帳戶須經三道認證機制,交易時也需進一步確認,設計非常嚴謹也沒問題,如果可以確定林先生的損失是因為機制錯誤,或被植入木馬程式而被盜領,他們一定賠付,但也有可能是客戶沒盡到保守帳號、密碼等資料的責任,目前已進入司法程序。

此外,賴士葆指出,網路銀行盜轉案年年增加,且多屬非約定轉帳,但破獲率卻僅3成,追回金額不到3%,光今年元旦到4月18日就有6家網路銀行的客戶存款遭盜領,有的是犯罪集團詐騙客戶取得資料,有些則是駭客透過電子郵件或利用民眾下載檔案植入木馬程式,盜取網路銀行用戶的帳號密碼。

賴士葆表示,近2年來,電腦、網路犯罪人數節節上升,起訴率僅3成7,且獲輕判程度高達8成以上,且目前網路詐欺的IP位址或犯罪點來自大陸的比例越來越高,在境外或使用無線溢波上網盜轉,導致偵辦困難度提高。

刑事警察局科技犯罪防治中心主任李相臣表示,最近共有40多位受害者報案,遭盜取金額逾千萬元,根據他們調查,確實有駭客組成犯罪集團破解網路帳戶機制,但嫌犯是在中國遙控犯案,除非他們回台灣,否則確實很難到對岸去抓人。

李相臣表示,3月時已向銀行業者和工會報告犯罪過程和受害情形,請他們重新檢討相關機制;至於木馬程式的問題,李相臣也提醒,木馬程式一再更新,目前很多防毒軟體都偵測不到,民眾除了小心不明的釣魚網站,避免個人資料洩漏或遭植木馬,刑事局網站上也提供最新防堵軟體,歡迎民眾免費下載。

(本文轉載自Yahoo!奇摩新聞)


reply to postreply to post
Self-Pity

I never saw a wild thing sorry for itself.
A small bird will drop frozen dead from a bough
without ever having felt sorry for itself.
作者 Re:[秘技] 中國信託網路銀行嚴重安全漏洞 [Re:cphunterlin]
worookie

Small Ship

版主

發文: 2092
於 2007-05-10 20:59 user profilesend a private message to userreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
cphunterlin wrote:
有補發 email 了. thkx Smile


看您一附不在乎的樣子
我猜其實您根本就沒有認識記者
否則這種毀謗的事情, 學法律的人不可能不知道其嚴重性


reply to postreply to post
作者 Re:[秘技] 中國信託網路銀行嚴重安全漏洞 [Re:arthuroy]
plutotw

井底蛙



發文: 624
於 2007-05-10 21:11 user profilesend a private message to userreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
看到 URL 表示採用 GET , 如果直接改成 POST 是不是算是改最少又有效的方法(針對這個問題)

reply to postreply to post
作者 Re:[秘技] 中國信託網路銀行嚴重安全漏洞 [Re:arthuroy]
caterpillar

良葛格

版主

發文: 2613
於 2007-05-10 21:43 user profilesend a private message to userreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
中國信託下單前,還有OTP驗證把關一次,我知道某銀行,下單前完全沒有再次確認的動作…XD

reply to postreply to post
良葛格學習筆記
作者 Re:[秘技] 中國信託網路銀行嚴重安全漏洞 [Re:arthuroy]
singlelog

換回來



發文: 416
於 2007-05-10 21:52 user profilesend a private message to usersend email to singlelogreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
告訴記者他們也會先去查證啦。上次我收到人家爆料,寄給中時的記者,結果他們卡在報社卡了三天,到最後還是沒報。我想大概是因為是weekend,謝長廷當選比較重要。Anyway,等到自由時報跟東森都報了,才跟著報。不過時間就失掉了。

這種事要是沒有弄懂,就報出來,也沒有讓中信銀解釋的機會,到最後報出來,被人告,媒體就有可能要賠很多錢。到最後媒體又沒辦法跟source求償。所以,不會這麼容易就出槌啦。

不過要是cphunterlin 寫封信,媒體就會報導的話,我們家的網站倒是還蠻缺乏免費的宣傳。那就有勞多寫幾封信啦。Big Smile

現在丁丁這麼紅,我們家的diggirl,中文暱稱搞不好可以由網友取的豬哥網,改名叫丁丁(dig)割肉(girl)站。


reply to postreply to post
我的書:專案管理Happy書!

我的網站:diggirl.net

my blog http://tinyurl.com/36gcye
作者 Re:[秘技] 中國信託網路銀行嚴重安全漏洞 [Re:plutotw]
ianhong





發文: 2
於 2007-05-10 21:55 user profilesend a private message to userreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
plutotw wrote:
看到 URL 表示採用 GET , 如果直接改成 POST 是不是算是改最少又有效的方法(針對這個問題)


我會建議再加個 cookie, 這樣可以讓一般安全意識比較低的人(通常也是比較不懂資訊安全的人) 發生 copy URL 時, 因為少了 cookie 資料上的認證. 降低機率. 除此之外, 可以再參考單一線性交易模式. 強迫使用者所有動作只能做線性. 比方類似 one time passcode, 做 A 動作後, A 產生暫時下個動作的 passcode. 任何時候檢查失敗, 就 session time out.

當然還沒有結束. 在做正式交易的時候, 需要客戶輸入交易授權碼. 這個可以用自然人憑證, 或則經由第三方授權. 避免有人在抓取到session ID 後, 可以進行最後交易. 建立最後堡壘.

除了這之外, 銀行本身也最好有內部監控機制. 監督不正常流量. 比方同一個 session ID 來自不同國家. 或則同一個session或使用者同時進行奇怪的交易.

不過現實來說, 任何當初自認設計很完美的安全機制. 到最後都會被破解.... 所以資訊安全才會越推越新....


ianhong edited on 2007-05-10 22:26
reply to postreply to post
作者 Re:[秘技] 中國信託網路銀行嚴重安全漏洞 [Re:worookie]
ianhong





發文: 2
於 2007-05-10 21:59 user profilesend a private message to userreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
worookie wrote:
我手邊的資料顯示均是用較高級手段的 Phishing 達成.
內賊應該不大可能, 因為公式基本上是不會被破的.

聽起來你應該是在資訊安全或銀行產業相關的公司工作.... 這方面應該跟您多請教了.


ianhong edited on 2007-05-10 22:22
reply to postreply to post
作者 Re:[秘技] 中國信託網路銀行嚴重安全漏洞 [Re:plutotw]
arthuroy





發文: 106
於 2007-05-10 22:00 user profilesend a private message to userreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
plutotw wrote:
看到 URL 表示採用 GET , 如果直接改成 POST 是不是算是改最少又有效的方法(針對這個問題)


目前看了一些討論,還沒有完整的心得 XD
1. From http://shiflett.org/articles/session-hijacking

For example, if the session identifier is propagated as GET data, attacks focus on obtaining GET data, not specifically the session identifier.

This type of propagation is less secure than using a cookie, because GET data is more exposed. When possible, use a cookie to store the session identifier. Of course, this is just a defense in depth mechanism and should not be considered the primary safeguard.

2. From http://en.wikipedia.org/wiki/Talk:Session_hijacking

Page Tokens can be of use in an environment where workflow state and navigation are closely guarded. However, in a general public website where there is no guarantee or control over user behavior, intermediate security such as this should not impair normal operations, so Request Tokens may have more general applicability.

Neither Page Tokens nor Request Tokens provide crack-proof session security. Their basic premise is that by introducing a request-level token in addition to the session level token, the window of opportunity for a hijacker is narrowed, giving a stronger defense against potential impersonation.


arthuroy edited on 2007-05-10 22:07
reply to postreply to post
Self-Pity

I never saw a wild thing sorry for itself.
A small bird will drop frozen dead from a bough
without ever having felt sorry for itself.
作者 Re:[秘技] 中國信託網路銀行嚴重安全漏洞 [Re:plutotw]
worookie

Small Ship

版主

發文: 2092
於 2007-05-10 22:36 user profilesend a private message to userreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
plutotw wrote:
看到 URL 表示採用 GET , 如果直接改成 POST 是不是算是改最少又有效的方法(針對這個問題)


一般用 POST 是常識.
如果中信用 GET 的話, 必定是有某些理由, 因為他們不可能對這基本常識也不知道.
我大膽猜測, 可能是受限於對 BroadVision 的程式修改能力, 而為了達成某種目的 (例如 SSO), 所以不得不用 GET.
所以我想對中信而言, 改成 POST 可能不是個簡單的解決的方式.


reply to postreply to post
作者 Re:[秘技] 中國信託網路銀行嚴重安全漏洞 [Re:arthuroy]
jini

SoftLeader Taiwan

版主

發文: 1266
於 2007-05-10 22:38 user profilesend a private message to userreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
我所知道 目前交易的部分應該是需要憑證吧?
( 雖然憑證也有被盜的可能性 )

如果 真的取得 合法的 sessionID 進行 hijacking ,
恐怕只能夠 View 進行 select 的動作

如果真的可以 "交易"
那就真的需要公開出來了...

另外, 利用 cookie 或 post 的道理也是一樣.. 只是不會出現在網址列 Big Smile


reply to postreply to post
作者 Re:[秘技] 中國信託網路銀行嚴重安全漏洞 [Re:ianhong]
worookie

Small Ship

版主

發文: 2092
於 2007-05-10 22:40 user profilesend a private message to userreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
ianhong wrote:
不過現實來說, 任何當初自認設計很完美的安全機制. 到最後都會被破解.... 所以資訊安全才會越推越新....

這是事實. 所以並沒有任何網站是完全安全的. 我們所謂的安全機制, 目的說穿了, 只是增加網站被侵的難度.


reply to postreply to post
作者 Re:[秘技] 中國信託網路銀行嚴重安全漏洞 [Re:singlelog]
worookie

Small Ship

版主

發文: 2092
於 2007-05-10 23:07 user profilesend a private message to userreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
singlelog wrote:
現在丁丁這麼紅,我們家的diggirl,中文暱稱搞不好可以由網友取的豬哥網,改名叫丁丁(dig)割肉(girl)站。


Tingki-Winki 其實代表的是男同性戀.


reply to postreply to post
作者 Re:[秘技] 中國信託網路銀行嚴重安全漏洞 [Re:worookie]
johnsoh

disney



發文: 456
於 2007-05-10 23:20 user profilesend a private message to usersend email to johnsohreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
試過了, 真的可以.

這問題大了, 雖然https是不會被看到, 但所有瀏覽紀錄後台一定有, 如果內部有人去幹壞事, 那就完了.

看了一下自己的系統, 還好沒這問題.


reply to postreply to post
作者 Re:[秘技] 中國信託網路銀行嚴重安全漏洞 [Re:singlelog]
cphunterlin





發文: 193
於 2007-05-10 23:21 user profilesend a private message to userreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
singlelog wrote:

不過要是cphunterlin 寫封信,媒體就會報導的話,我們家的網站倒是還蠻缺乏免費的宣傳。那就有勞多寫幾封信啦。Big Smile

不是我寫的 , 是我們學校的公關室的啦 ,
我跟公關室有點小認識請她們發的 = = .
另外 2 位是老朋友了 , 而 IThome 是我們 PCHOME 的呀.Smile
diggirl 蠻有名的囉 Tongue


reply to postreply to post
我用程式語言去勾勒腦中的想像. 尤如規則的實踐家~
在指尖上散淡淡的煙草香,卻染上法律、資訊、人脈和熱情 ~
作者 Re:[秘技] 中國信託網路銀行嚴重安全漏洞 [Re:worookie]
singlelog

換回來



發文: 416
於 2007-05-11 00:08 user profilesend a private message to usersend email to singlelogreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
worookie wrote:
Tingki-Winki 其實代表的是男同性戀.

是喔,哈哈。

原來丁丁叫做Tingi-Winki,哈,只有小孩子大概兩歲之前在看這個節目,現在大了,看的就是小叮噹了。

丁丁是代表同性戀喔?這個我就看不出來了。Big Smile

一直覺得這四隻長的很詭異呀。


reply to postreply to post
我的書:專案管理Happy書!

我的網站:diggirl.net

my blog http://tinyurl.com/36gcye
作者 Re:[秘技] 中國信託網路銀行嚴重安全漏洞 [Re:arthuroy]
psychokiller





發文: 581
於 2007-05-11 00:24 user profilesend a private message to userreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
大部份美國銀行
都有網銀的服務
已上市的都應該有了

像Bank of America
都會有site key
必免你連到假的網佔
或經過第3者

美國銀行是用triple DES加密
中間存放 cookie
還經過一個很複雜的protocol
那個protocol 還包括一個 random number challenge

我是覺的安全幸有夠了
如果他們都有照標準的話Smile


reply to postreply to post
作者 Re:[秘技] 中國信託網路銀行嚴重安全漏洞 [Re:psychokiller]
worookie

Small Ship

版主

發文: 2092
於 2007-05-11 00:30 user profilesend a private message to userreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
psychokiller wrote:
美國銀行是用triple DES加密

好像 TDES 是五年以前的標準規定
因為 TDES 計算較慢又易被破解 (大約一小時內)
現在大都改用 AES, 不知道現在美國銀行有否改變?


worookie edited on 2007-05-11 00:32
reply to postreply to post
作者 Re:[秘技] 中國信託網路銀行嚴重安全漏洞 [Re:singlelog]
worookie

Small Ship

版主

發文: 2092
於 2007-05-11 00:34 user profilesend a private message to userreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
singlelog wrote:
丁丁是代表同性戀喔?這個我就看不出來了。Big Smile


紫色, 三角型天線, 和手提包包這三個是同性戀的象徵.


reply to postreply to post
作者 Re:[秘技] 中國信託網路銀行嚴重安全漏洞 [Re:arthuroy]
worookie

Small Ship

版主

發文: 2092
於 2007-05-11 00:46 user profilesend a private message to userreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
arthuroy wrote:
網路銀行帳戶遭盜領 業者:若客戶沒盡保密責任,不賠付
【東森新聞報/記者郭羿婕/台北報導】2007/04/27
(略)
網路銀行遭盜轉案例時有所聞,國民黨立委賴士葆27日上午請受害者現身說法,林先生指出,他在中信商銀開設的網路帳戶,2月16日到19日期間遭歹徒利用OPT非約定轉帳機制,盜轉16筆款項,無故損失逾140萬元,銀行卻以警察機關正在調查為由,讓他平白蒙受損失。
(略)

若我沒記錯的話, 後來有開法庭的公聽會, 以判斷責任歸屬.
無論最後判決結果如何, 皆已重重打擊了中信網銀.
同業 (銀行以及開發網銀的廠商) 大都不敢趁機若井下石, 所以新聞並未鬧大.
不知道開發中信網銀的是哪一家?
突然想起, 中信網銀還有提供查詢性交易服務.


reply to postreply to post
作者 Re:[秘技] 中國信託網路銀行嚴重安全漏洞 [Re:ianhong]
worookie

Small Ship

版主

發文: 2092
於 2007-05-11 01:04 user profilesend a private message to userreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
ianhong wrote:
聽起來你應該是在資訊安全或銀行產業相關的公司工作


在台灣開發銀行相關軟體的公司有對資訊安全很厲害的嗎? 我很懷疑.


reply to postreply to post
作者 Re:[秘技] 中國信託網路銀行嚴重安全漏洞 [Re:worookie]
singlelog

換回來



發文: 416
於 2007-05-11 01:36 user profilesend a private message to usersend email to singlelogreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
worookie wrote:
突然想起, 中信網銀還有提供查詢性交易服務.

咦我也想起來了,就是那個查詢性交易的服務嘛。Cool


reply to postreply to post
我的書:專案管理Happy書!

我的網站:diggirl.net

my blog http://tinyurl.com/36gcye
go to first page go to previous page  1   2   3   4  go to next page go to last page
» JWorld@TW »  交流、聊天、灌水

reply to topicthreaded modego to previous topicgo to next topic
  已讀文章
  新的文章
  被刪除的文章
Jump to the top of page

JWorld@TW 本站商標資訊

Powered by Powerful JuteForum® Version Jute 1.5.8