ithome http://www.ithome.com.tw/itadm/article.php?c=43589
略...
資安專家指出,這個網路銀行系統設計的瑕疵,是Session ID沒有與使用者的電腦綁定。當網路銀行使用者登入系統後,網路伺服器會產生一個獨特的Session ID(連線ID),用以代表使用者的電腦,在接下來的網頁瀏覽過程中,網路伺服器就能據以辨識使用者,提供相對應的服務。
因為Session ID沒有綁定使用者的電腦,所以中信網銀的使用者登入系統後,在尚未登出或關閉網頁前,將URL傳給其他人,由於該網址已帶有Session ID,因此在其他電腦上亦可同步瀏覽該人的帳戶資訊,如此他人即可跳過系統登入的程序。
略...
====================================================
我只能說如果不是資安專家的水準另人訝異 的低
就是記者的報導居心悱測
講的一付中信某一個基本的功能沒作似的
問題根本是中信作太多
Session 本來就是 browser 與 server 溝通時的自然條件
在不做任何處理的情況下,Session 是自動會存在運作的
中信的Case不在於沒有將SessionID與 browser 綁定(Session本來就在)
而是他們沒有把Session機制納入權控的範圍
又或者說他們這個網站當初就故意設計成Sessionless的
將他認定的 SessionId 放在URL上
以達成儘管 browser 的 Session 功能被關閉,網站仍可運作
結果就是在中信 Server 接受這個 SessionId 的時段內URL貼到別的 browser 網頁就出來
其實這個只要再加一點工,
簡單的作法就是把這組 SessionID 再藏在網頁中當作必要的request變數
這個問題就可以解決
不過這部分就交給可憐的中信工程師處理吧
沒有留言:
張貼留言