Audyt Bezpieczeństwa w Francuskim Banku

Audyt Bezpieczeństwa w Francuskim Banku to kolejny projekt zrealizowany z udziałem naszej Firmy.
Projekt został wykonany z udziałem naszych 5 specjalistów przy spełnieniu najwyższych obecnych standardów jakości.

Informacje o Kliencie:
Nasz Klient pochodzi z sektora finansowego, jest to ***informacja poufna*** czyli Francuski Bank i jednocześnie jeden z największych na świecie.

Nasze zadanie:
Nasz zespół weryfikujący bezpieczeństwo składał się z 3 Audytorów Bezpieczeństwa oraz 2 Inżynierów Bezpieczeństwa.
Zadaniem naszych Ekspertów było zweryfikowanie i wskazanie podatności w aplikacjach webowych francuskiego banku.

Realizacja zadania:
Realizacja prac trwałą przez ponad 3 tygodnie, nasi eksperci dokonali badania aplikacji internetowej, która decydowała o tym, czy określony wniosek kredytowy złożony przez Klienta zostanie rozpatrzony pozytywnie oraz czy wnioskującemu zostaną wypłacone środki pieniężne o które się ubiega.
Składany wniosek przez Klientów banku aplikowany był za pośrednictwem głównej aplikacji banku przeznaczonej dla Klientów, natomiast cała „obróbka” odbywała się w aplikacji „backoffice”, którą mieliśmy przyjemność również testować.

W trakcie naszej pracy wykryte zostały 2 dość ciekawe podatności, o których warto wspomnieć w tym wpisie Case Study.
Pierwsza z nich pozwalała na wykonanie ataku PHP Object Injection podczas błędnej implementacji deserializacji obiektu. Podatność okazała się na tyle krytyczna, że nasi eksperci z łatwością byli w stanie pobrać dowolny plik z serwera bankowego.
W ten sposób po pobraniu źródeł atakowanej aplikacji doszliśmy do jeszcze jednej ciekawej podatności, która była umiejscowiona w module ładownia dodatkowych dokumentów po przez pracowników banku. Podatność ta pozwalała oszukać aplikację, która pozwalała na przesłanie tylko plików tiff lub pdf i następnie zapisywała ją pod jak się wcześniej wydawało losową nazwą na serwerze. Nasi eksperci doprowadzili do tego, że aplikacja zapisała na serwerze wykonywalny plik PHP, a dzięki temu, że mieliśmy możliwość odczytania źródeł (skorzystaliśmy z pierwszej odnalezionej podatności) dowiedzieliśmy się w jaki sposób tworzona jest „losowa” nazwa pliku.
Po uruchomieniu wgranego pliku zdobyliśmy już dostęp do praktycznie całego serwera, na którym umiejscowiona była aplikacja. Nazwą pliku okazał się znacznik czasowy w hashu md5.

Co zyskaliśmy ?
Naszą pracę zakończyliśmy jak zawsze kompletnym raportem opisującym dokładnie wykryte podatności oraz informacją jak zniwelować wykryte zagrożenia.
Po przeprowadzonych przez nas retestach aplikacji (klient potrzebował 2 tygodni czasu na poprawę aplikacji) nie stwierdziliśmy już żadnych zagrożeń.

Jest nam serdecznie miło, że mogliśmy się przyczynić do poniesienia bezpieczeństwa internetowej aplikacji bankowej.
Serdecznie dziękujemy !