АРМАДА
Вывод средств из Visa QIWI Wallet имея только cookies
Новая тема Написать ответ

adamant
V.I.P.
Зарегистрирован: 20.03.2008
Сообщений: 11494
Обратиться по нику
# Добавлено:Пн Dec 24, 2012 12:18 amДобавить в избранноеОтветить с цитатой
создал еще тему, так лучше в индекс попадает ))))

Вывод средств из Visa QIWI Wallet имея только cookies пользователя

Безопасность — важнейшая вещь. Тем более, безопасность в интернете. Тем более, для платёжного сервиса, где люди имеют свойство хранить свои финансовые средства. Думаю, со мной никто не поспорит, если я выдвину тезис о том, что одна из крупнейших платёжных систем, компания с многомиллиардным оборотом, не должна позволять себе огрехи в безопасности пользовательских кошельков.

Ниже — просто описание того, как я, обладая далеко не самыми глубокими знаниями в информационной безопасности, смог вывести неограниченное количество средств из третьего кошелька, обладая лишь «кукой» JSESSIONID пользователя.

Шаг 1: получение cookies третьего пользователя.

Не смотря на то, что основной сайт платёжной системы — w.qiwi.com — использует https-шифрование, cookies всё равно хранятся в браузере в незашифрованном виде. Поскольку интересующие нас куки JSESSIONID хранятся лишь до конца сессии, важно лишь вытащить их с компьютера жертвы в нужный момент.

Думаю, останавливаться на том, как это сделать, смысла нет. Есть множество способов получения «печенек» от пользователя. Для специалиста, при должном желании, это выполнимая задача.

Кроме того, на старом сайте QIWI-кошелька, — w.qiwi.ru, в отличие от новой версии, — w.qiwi.com — использовался атрибут «autocomplete=«off»», который запрещает запоминание пароля браузером. К слову, вытащить пароли из Firefox неопытного юзера (по-умолчанию Firefox никак их не шифрует), к примеру, при наличии бэкдора, проблем также не составит. (Впрочем, как и практически из любого другого браузера.)

Шаг 2: подмен cookies и первичная аутентификация

Тут всё просто как дважды два. Уж не знаю почему, но cookie JSESSIONID не привязана даже к IP пользователя. Кроме того, при двух параллельных авторизаций с разных IP под одной «кукой» сайт никак не «сигналит» о возможном взломе пользователю, а ведь стоило бы.

Заходим на w.qiwi.com и подменяем присвоенную JSESSIONID на аналогичную третьего пользователя. В Firefox и Opera это делается за 20 секунд стандартными средствами браузера, для Chrome есть простое расширение, насколько я понимаю.

картинки я неперезаливал, если кому надо сохранит себе


Всё, мы авторизовались от имени «жертвы».

К слову, подложная сессия, если мы успели пройти под ней аутентификацию, не умрёт даже в случае логаута истинного юзера, если мы будем сохранять её «живой» путём периодических рефрешей.

Шаг 3: проведение платежа без SMS-подтверждения

Двухфакторная аутентификация — важная вещь, которая позволяет обезопасить пользователя гораздо лучше, чем простая связка логин-пароль. Если украсть аутентификационные данные довольно легко, то SIM-карта, казалось бы, спасёт владельца в 99% случаев.

Алгоритм двухфакторной аутентификации применялся в QIWI-кошельке (тот самый w.qiwi.ru, и, к слову, там он был реализован лучше), теперь применяется и в Visa QIWI Wallet. Но в последнем подтверждение платежа по SMS несложно «обойти».

Для этого, во-первых, создаём шаблон нужного платежа. Это может быть простой перевод на другой кошелёк, оплата на кошелёк WebMoney, и т.д. и т.п. За пример возьмём простой платёж на другой Visa QIWI кошелёк.



Затем из этого избранного платежа нам лишь нужно сделать запланированный. И, как это ни странно, система даст нам это сделать без SMS-подтверждения. Для этого в списке избранных платежей нажимаем «Редактировать» внизу, жмём на нужный нам платёж и заполняем форму «Запланировать платеж?», ставим галочку напротив пункта «Платить автоматически». Затем сохраняем платёж и просто ждём указанного нами же времени, когда мы получим перевод.



Платежи могут задерживаться на минуту-другую, но с успехом проходят без ведома пользователя. Точнее пользователь увидит, конечно же, пропажу средств, но уже в отчётах постфактум. (Мне на android-приложение сразу же пришло уведомение о том, что платёж проведён, но уже, очевидно, поздно.)

Есть ещё, конечно, вариант, что третий пользователь за эти пару минут, пока вы проводите манипуляции с избранными платежами, заметит всё это и что-то успеет предпринять, но это маловероятно.

Деньги ушли —



А вот они же пришли —



от, собственно, и весь процесс. Буквально за пару минут, имея на руках свежие cookies пользователя (либо связку логин-пароль), путём несложных мероприятий мы можем опустошить кошелёк пользователя.

Послесловие. После написания данного топика, перед его отправкой, проделал такую же операцию на 1 рубль со своего кошелька на несуществующий. Нашёл какой-то телефон центрального офиса Visa QIWI (8 (800) 200-00-59), позвонил. Дождался ответа оператора. Тот сказал, что нужно звонить 8-800-555-74-94 по вопросам QIWI-кошелька.

Позвонил туда. Сказал, что платежа данного не совершал, по SMS, естественно, ничего не подтверждал. Девушка на том конце начала мне уверенно объяснять, что данный платёж прошёл без SMS-подтверждения поскольку… и тут связь почему-то прервалась.

Перезваниваю ещё раз. Другой оператор. Объяснил ситуацию. Сказали писать на fm@qiwi.ru в службу безопасности. Ничего по телефону они не объясняют. Ответ до двух суток.

Письмо написал, расписал всё то же, что и в посте. Прошло двое суток. Ответа не последовало.

И ещё один момент. В топике я писал, что на старом QIWI-кошельке (w.qiwi.ru) проблема безопасности была решена лучше. Так вот там, если нужно создать запланированный платёж, его нужно хотя бы один раз подтвердить по SMS. И так и должно быть, это правильно. Но на новой версии, которая уже не просто QIWI, а Visa QIWI — данный момент упустили.

Важное примечание. Данная статья написана не в деструктивных целях, а для того, чтобы обратить внимание крупной компании на мелкие, но важные недочёты в их продукте. (Службе поддержке, как видимо, не до этого.) Надеюсь, представители QIWI отреагируют и быстро залатают уязвимость, а также постараются продумывать все возможные сценарии поведения пользователя, дабы избежать негативных возможностей социальной инженерии в будущем.

Special for you :mrrgreen:
EvaPharmacy. Чтобы мазать хлеб икоркой, Ева – лучшая партнёрка! Инвайты Jabber: evasupport@jabber.org и ICQ: 750000
Unlimited on 1Gbs port |

DrKronos
SEO-доктор
Зарегистрирован: 11.03.2008
Сообщений: 13024
Moder (Сумма: 1)
Обратиться по нику
# Добавлено:Пн Dec 24, 2012 12:30 amОтветить с цитатой
О, молодец, сохранил, а то на хабре в черновики ушло, толком не прочитал
Oscar the grouch Здесь могла быть ваша реклама

awm543322445
V.I.P.
Зарегистрирован: 31.05.2012
Сообщений: 7303
Обратиться по нику
# Добавлено:Пн Dec 24, 2012 1:01 amОтветить с цитатой
Цитата:
к примеру, при наличии бэкдора, проблем также не составит.


Ещеб написали при наличии пароля :oldher:
Сторонникам Морали и Нравственности нужно немедленно отрезать хуй, потому что хуй -- это безнравственно.

adamant
V.I.P.
Зарегистрирован: 20.03.2008
Сообщений: 11494
Обратиться по нику
# Добавлено:Пн Dec 24, 2012 1:18 amОтветить с цитатой
DrKronos, неа. я с гугло кеша доставал. потому и пруфов ставилт куда
EvaPharmacy. Чтобы мазать хлеб икоркой, Ева – лучшая партнёрка! Инвайты Jabber: evasupport@jabber.org и ICQ: 750000
Unlimited on 1Gbs port |

JM
Гуру
Зарегистрирован: 25.08.2006
Сообщений: 1382
Обратиться по нику
# Добавлено:Пн Dec 24, 2012 6:08 pmОтветить с цитатой
Да нормально, я думаю у половины банков в клиент-банке есть подобные косяки Smile
Конвертит мобильный траф как зверь!!!
VDS и домены от AHnames.com - лучшие решения по доступным ценам

awm543322445
V.I.P.
Зарегистрирован: 31.05.2012
Сообщений: 7303
Обратиться по нику
# Добавлено:Пн Dec 24, 2012 7:09 pmОтветить с цитатой
Цитата:
Да нормально, я думаю у половины банков в клиент-банке есть подобные косяки Smile


Косяка то нету как такового, чтобы вытащить печенье нужно Кысс найти. Но обход смс авторизации запален :nah:
Сторонникам Морали и Нравственности нужно немедленно отрезать хуй, потому что хуй -- это безнравственно.

adamant
V.I.P.
Зарегистрирован: 20.03.2008
Сообщений: 11494
Обратиться по нику
# Добавлено:Вт Dec 25, 2012 12:03 pmОтветить с цитатой
а что с индексом армады. статья неподает в ПС. как так?
EvaPharmacy. Чтобы мазать хлеб икоркой, Ева – лучшая партнёрка! Инвайты Jabber: evasupport@jabber.org и ICQ: 750000
Unlimited on 1Gbs port |

awm543322445
V.I.P.
Зарегистрирован: 31.05.2012
Сообщений: 7303
Обратиться по нику
# Добавлено:Вт Dec 25, 2012 2:20 pmОтветить с цитатой
Проиндексированна она, но ранжируется как копипаста после более трастовых ресурсов с уником.
Сторонникам Морали и Нравственности нужно немедленно отрезать хуй, потому что хуй -- это безнравственно.

IseeDeadPeople
Объединенная Электрическая
Зарегистрирован: 06.12.2005
Сообщений: 21722
Обратиться по нику
# Добавлено:Пн Dec 31, 2012 10:29 pmОтветить с цитатой
adamant писал(а):
а что с индексом армады. статья неподает в ПС. как так?



Ты в яндексе или у гугле смотришь (?) Там вроде пинги сейчас не мгновенные как раньше были, подожди часа 3-4 для гугля, для яндекса возможно и сутки или более, проиндексируется в любом случае.
porno

veligursky +
Гуру
Зарегистрирован: 14.07.2008
Сообщений: 1127
Обратиться по нику
# Добавлено:Чт Янв 03, 2013 4:28 pmОтветить с цитатой
блин а я то думал чего так стремно становится если деньги через киви проводить проходится Cool
Блог для Новичков в SEO и CPA, CPA Admitad
Новая тема Написать ответ    ГЛАВНАЯ ~ ФИНАНСОВЫЕ ВОПРОСЫ

Перейти:  





Генеральный спонсор



Партнеры