Tham dự Tech Lounge

Tham dự Tech Lounge


Thử nghiệm bảo mật của web và ứng dụng của một số ngân hàng tại VN

mrpaint
24/7/2016 12:42Phản hồi: 184
184 bình luận
Chia sẻ

Xu hướng

iLi
TÍCH CỰC
8 năm
@mrpaint test tiếp VPBank & VietinBank giùm đi,...
shootgun29
ĐẠI BÀNG
8 năm
Hiện tại, các cấu hình bảo mật đánh giá theo thời kỳ, Có thể bây giờ đc A, nhưng khoảng thời gian tới kiểm tra lại sẽ chưa đc A. Việc cập nhật cần diễn ra liên tục và có chu kỳ.
BBW
TÍCH CỰC
8 năm
thế mà trước giờ nghĩ ACB ngon, BIDV nhà nước cùi bắp, thật là bất ngờ
Các bác ai cũng giỏi quá em ko biế gì hết.

"Mã hoá" front-end cho user + password liệu có ăn thua gì? chỉ là làm khó thêm chút xíu thôi?
"Mã hoá" hay chỉ "base64 encoded"?
1. BIDV support port 80 (https://www.bidv.vn/EntlWeb/IbsJsps/orbilogin.jsp?Source=NewLogin) . Ngay cái này mà cũng không biết thì không hiểu ông chủ thớt thử nghiệm bảo mật kiểu gì? Dựa trên kết quả scan ssllabs mà đánh giá bảo mật của ngân hàng.
2. Như bạn tin_truc22 viết, việc mã hóa username, password ở client là 1 việc vô nghĩa. Giống như chắn nửa đường bên phải và cho phép đi sang bên trái.
Nếu có khả năng hãy test sâu bạn nhé. Ngân hàng sẽ có khoản tiền hợp lý cho bạn. Hoặc nhà nước sẽ tạm thời cấp cho bạn 1 nơi nghĩ dưỡng dài hạn. Chứ vờn ở ngoài thế này thì mình thấy nó chưa đâu vào đâu cả. Tất nhiên phải công nhận trình độ và khả năng của bạn rất cao.
Hung_war3
TÍCH CỰC
8 năm
Bạn là software dev? Bạn có bất kỳ chứng chỉ nào về security chưa?
Việc công bố các thông tin về bảo mật, quy trình thông báo lỗi?
Em bên hàn sài ibk
Dùng trên đt yêu cầu:
+ v3 mobile plus
+ thẻ bảo an
+mâtk khẩu tài khoản
+mật khẩu phần mềm gồm số,chữ,kí tự đặc biệt
+và 8 số code báo mỗi khi gửi tiền nhắn sms về điện thoại
received_1754145148156760.jpeg
hieupham8x
ĐẠI BÀNG
8 năm
NH nào mình cũng có thẻ. Mà thẻ nào cũng hỏng có tiền. Nên yên tâm, không đọc nữa, đi ra chỗ khác chơi ;-)
lehman1
ĐẠI BÀNG
8 năm
sau bài rv của b Duy Luôn về cái app ML thấy ăn khách quá nên boss cuhiêp chỉ đạo tăng cường rv các bank ~> bộn $
cao thủ sông hồ cũng lũ lượt tái xuất
dductung
ĐẠI BÀNG
8 năm
mình ko biết gì về bảo mật, nhưng có đọc cmt của mấy bạn ở trên thì có vẻ bài test của mod có nhiều tranh cãi và ảnh hưởng đến một số ngân hàng.
Tinh tế là diễn đàn lớn nên mong admin, mod xem xét gỡ bài này khỏi trang chủ hoặc đổi title cho một số bạn ko hiểu về bảo mật như mình đánh giá sai về ngân hàng nào đó.
VienNT
ĐẠI BÀNG
8 năm
Bác chủ topic chưa đủ trình để test bảo mật các web & app của ngân hàng 😁 Test kiểu này gây hoang mang với những người không biết.

(Mình cũng không đủ trình nên đừng bảo mình viết bài test nhé :D )

=> Bị cài malware thì nó ghi nhận lại phím bạn gõ luôn, đâu cần giải mã mấy cái thông tin mã hóa kia làm chi :D

=> Xài giao thức SSL là nó đã mã hóa từ client trước khi gửi đến server rồi bạn. Có ở giữa bắt gói tin mệt nghỉ cũng không biết đó là thông tin gì.
aobaom84
ĐẠI BÀNG
8 năm
@VienNT 😃
I.Corp
TÍCH CỰC
8 năm
K rành lắm nhưng kết cái kết luận ngắn gọn súc tích. Mong là chính xác 😁
lotterite
ĐẠI BÀNG
8 năm
Các bạn cái gì cũng nhạy cảm nhạy cảm. Chưa ai chặn đã tự bịt miệng mình trước.
sonenemy
ĐẠI BÀNG
8 năm
Bạn nên chọn 1 đối tượng và tấn công thử,...chỉ test tnay vẫn chưa khẳng định dc mà có thể gây hoang mang ko tốt...
big_finger
ĐẠI BÀNG
8 năm
Bài viết gây hoang mang quá 😁 :D
Test VIETINBANK cho em với được không.
client mà bị tấn công thì mấy thứ javascript linh tinh chỉ là vô nghĩa
lehman1
ĐẠI BÀNG
8 năm
b nào có tk dưới 1tỉ thì khỏi lo, hecker chuyên nghiệp nó cũng ko thó đâu
còn tk trên nữa thì nên nghiên cứu, cứu ko nội thì thuê b mod này tư vấn thêm

Xu hướng

Bài mới









  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2024 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: Số 70 Bà Huyện Thanh Quan, P. Võ Thị Sáu, Quận 3, TPHCM
  • Số điện thoại: 02822460095
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019