Thử nghiệm bảo mật của web và ứng dụng của một số ngân hàng tại VN

Thử nghiệm bảo mật của web và ứng dụng của một số ngân hàng tại VN

Discussion in 'Thông tin công nghệ' started by mrpaint, 24/7/16. Replies: 180. Views: 63,585.

mrpaint
Theo dõi

Thử nghiệm bảo mật của web và ứng dụng của một số ngân hàng tại VN

Thảo luận trong 'Thông tin công nghệ' bắt đầu bởi mrpaint, 24/7/16. Trả lời: 180, Xem: 63585.

Chia sẻ

  1. Gates

    Tham gia:
    21/11/13
    Được thích:
    1,227
    Best Answers:
    0
    Gates
    TÍCH CỰC
    Cao nhân phương nào nếu đã thấy "chuyện bất bình" hãy ra tay tương trợ, chỉ giáo cho mọi người cùng biết, chứ chỉ có vài dòng kiểu đó coi bộ "cao nhân" mới là người làm rối lòng thiên hạ.

    Ko kiểm tra được ở đây hiểu đơn giản là bạn thậm chí ko có cơ hội tiếp cận nó để kiểm tra. Vô địch.
     
    boybl1990, tuanhung1433, soskhanh1 người khác thích nội dung này.
  2. tronghoang8705

    Tham gia:
    9/9/15
    Được thích:
    375
    Best Answers:
    0
    tronghoang8705
    ĐẠI BÀNG
    theo thông tin rò rỉ của tổ chức bảo mật ngân hàng quốc tế
    hiện đang có 1 nhóm tin tặc xuyên quốc gia
    chuyên dò tìm và đánh cắp tài khoản ngân hàng
    và mình tin chắc bạn là 1 trong những đối tượng của tổ chức này đang nhắm tới.
    Để an toàn cho bạn và góp sức cho cảnh sát quốc tế interpol bắt dc nhóm tin tặc này.
    mình xin gợi ý cho bạn 2 cách sau để bảo vệ tài khoản của bạn
    1 - bạn rút hết tiền trong tài khoản ra và ko sử dụng tài khoản này nữa. => XONG
    2- bạn chuyển hết tiền trong tài khoản của bạn vào tài khoản của mình theo stk sau đây
    010010101100010010 , vietconbank, chi nhánh HCM ,
    chủ tài khoản : NGUYEN VAN KHONG BIET GI HET. :D
    thế nhé, chúc bạn thành công :D
     
    spsp thích nội dung này.
  3. phuclun

    Tham gia:
    24/3/10
    Được thích:
    51
    Best Answers:
    0
    phuclun
    ĐẠI BÀNG
    Vậy mà trước giờ tưởng anh techcombank bảo mật tốt nhất chứ :))
     
  4. Triệu Dũng Phú

    Tham gia:
    10/8/12
    Được thích:
    479
    Best Answers:
    0
    Triệu Dũng Phú
    TÍCH CỰC
    Đi mở cái TK BIDV ngay thôi ^^
     
  5. thangna

    Tham gia:
    14/4/08
    Được thích:
    25
    Best Answers:
    0
    thangna
    ĐẠI BÀNG
    vẫn còn thiều phần xác thực người dùng khi sử dụng ebank & Mobile Banking nữa.
    đâu chỉ có bây nhiêu mà attack được người dùng?
     
  6. kienbk

    Tham gia:
    28/2/08
    Được thích:
    23
    Best Answers:
    0
    kienbk
    ĐẠI BÀNG
    Thông tin tương đối nhiễu loạn, có cao nhân nào có thể vào trợ giúp update thêm phương pháp hoặc thông tin để mọi người theo dõi
     
  7. longoanhi

    Tham gia:
    6/10/11
    Được thích:
    239
    Best Answers:
    0
    longoanhi
    TÍCH CỰC
    đù vegi sig mà vậy ăn cức rồi
     
  8. x10man

    x10man Thành viên

    Tham gia:
    21/6/10
    Được thích:
    71
    Best Answers:
    0
    x10man
    Mấy cái test này có sẵn trên mạng, nhập tên host vô và chạy thôi, chả có gì cao siêu.
    Gợi ý với tác giả là "Nêu tên đích danh ngân hàng" là dễ dính rắc rối lắm nhé, mấy công ty chuyên nghiệp khi thực hiện test họ không bao giờ nêu tên đích danh của cơ quan nào.
     
    U Minh thích nội dung này.
  9. xtmg1

    Tham gia:
    17/1/08
    Được thích:
    1,717
    Best Answers:
    0
    xtmg1
    CAO CẤP
    Thử nghiệm vậy đâu có chính xác, bạn thử hack mới chuẩn chứ
     
    1. ngoc544

      Tham gia:
      26/3/11
      Được thích:
      96
      Best Answers:
      0
      ngoc544
      ngoc544 @xtmg1 Làm theo bạn là mai báo chí có tin mới đăng ầm ầm, mod tinhte lên đĩa :)
       
  10. verybeo

    Tham gia:
    25/2/11
    Được thích:
    921
    Best Answers:
    0
    verybeo
    TÍCH CỰC
    Bankplus viettel thì sao ta. Qua otp có dính ko
     
  11. huuhoangkorea

    Tham gia:
    6/11/11
    Được thích:
    150
    Best Answers:
    0
    huuhoangkorea
    ĐẠI BÀNG
    Ặc đang dùng ACB và giao dịch nhiều trên điện thoại
     
  12. luongitvn

    Tham gia:
    21/9/08
    Được thích:
    175
    Best Answers:
    0
  13. arm89

    Tham gia:
    24/5/12
    Được thích:
    39
    Best Answers:
    0
    arm89
    ĐẠI BÀNG
    @mrpaint ứng dụng Bankplus của Viettel nữa bác, ứng dụng này kết nối rất nhiều ngân hàng tại VN. máy root rồi dùng ứng dụng bankplus có đảm bảo ko? dùng chuyển tiền theo Ussd của Viettel có an toàn?
     
  14. thucungcuatoi

    Tham gia:
    18/5/09
    Được thích:
    246
    Best Answers:
    0
    thucungcuatoi
    TÍCH CỰC
    Thêm em VPBank đi :) TPBank nữa
     
  15. thanhphat95

    Tham gia:
    6/8/13
    Được thích:
    893
    Best Answers:
    0
    thanhphat95
    TÍCH CỰC
    ad rảnh thì kiểm tra dùm mình cái Đông Á vớio_O
     
    1. mrkn

      Tham gia:
      27/11/14
      Được thích:
      218
      Best Answers:
      0
      mrkn
      ĐẠI BÀNG
      mrkn @thanhphat95 Đông Á có siêu cao thủ ủng hộ đằng sau, an toàn nhất trong các ngân hàng đó bác

      Citibank và HSBC thừa hưởng công nghệ từ tập đoàn mà kết quả vậy thì hơi kỳ. Tiền thì 2 công ty đó đâu có thiếu, policy lại càng bắt buộc phải bảo mật hơn nữa. Khó hiểu quá, hjx
       
  16. tin_truc22

    Tham gia:
    11/6/09
    Được thích:
    377
    Best Answers:
    0
    tin_truc22
    TÍCH CỰC
    Đầu tiên, dựa vào mấy cái này mà bảo là dịch vụ an toàn hay không rồi đưa lên trang chủ của 1 diễn đàn công nghệ *được coi là* nhất VN hiện tại thì có vẻ thiếu thận trọng, vì có thể gây hoang mang dư luận ảnh hưởng đến những người được nêu tên. 1 bài viết nếu chỉ ngày 1 ngày 2 chưa nghiên cứu nhiều, có nhiều khái niệm sai lại ảnh hưởng đến những người đọc theo hướng tiêu cực e dè thì không nên đăng làm gì. Mấy hãng bảo mật như Symantec, kaspersky dẹp đi cho vừa lại ảnh hưởng đến cộng đồng làm bảo mật trong nước.
    Sáng giờ làm việc không thời gian viết nhiều giờ viết vài dòng phản biện:
    - TLS/SSL là 1 cái nền tảng của bảo mật rồi. Vì vậy nó là cần thiết đánh giá, nhưng để đánh giá được mức độ bảo mật của từng Certificate như thế nào thì không phải đơn giản chỉ là mấy cái thang điểm của 1 trang nào đó (Câu hỏi, bạn tin ssllabs đến mức nào). Ví dụ ssllabs báo nó điểm C, nhưng khi coi kỹ chứng chỉ SSL do Symantec cấp, lý do ssllabs thông báo là do dùng SHA1withRSA của VeriSign, trước đó đã có 1 chữ ký khác của Symantec dùng SHA256withRSA rồi trong chain đã có chẳng cần phải lo. Tên 2 hãng đó các bạn cứ tự hình dung.
    Về cảnh báo RC4 thì do có lẽ bọn này muốn support trình duyệt cũ, mới hỗ trợ thêm, chứ mặc định các trình duyệt version mới, lên bản mới đã chuyển sang TLS 1.2, chẳng cần quan tâm tới cái đó. Bạn sẽ quan tâm chuyện khi vào website ngân hàng, máy tính bạn báo không hỗ trợ trình duyệt và không làm gì được, hay nó sẽ hỗ trợ 1 giao thức kém bảo mật hơn 1 chút (do công nghệ cũ) nhưng vẫn có thể xem là vấn đề (RC4 has long been considered problematic)?
    Tiếp theo:
    - Đã có TLS rồi thì còn sợ gì Man In The Middle? Phải thực hiện mã hoá ở client? Coi như vô nghĩa. Bạn có lấy 1 sợi dây xích xe đạp để buộc cái két sắt của bạn ở nhà lại không? Việc phải thực hiện này không có ý nghĩa gì ngoại trừ chuyện ngay cả server cũng không biết được password của người dùng. Lỗi chỉ có thể xảy ra khi client (web browser, phone, computer) bị compromise (hoặc server bị lộ key, dường như không thể), nhưng đã đánh được ở mức client thì người ta đặt keylog cho nhanh gọn còn dễ hơn là ngồi sniff dữ liệu.
    - Pinning certificate là 1 vấn đề mới được đưa ra thảo luận gần đây, không thèm trust luôn certificate của bọn CA (Verisign, Symantec) tuy nhiên mấu chốt ở chỗ ... không nhiều trình duyệt hỗ trợ cái này, các CDN lớn cũng chưa hỗ trợ (mình thử với cloudflare, cuối cùng bọn nó lỗi hệ thống vài ngày sau mới fix được), và thường cái pinning này cũng chỉ có ý nghĩa cho ứng dụng mobile chứ web chẳng ý nghĩa mấy nên các ngân hàng mới chỉ triển khai cho nó. Việc nói chạy webview của citibank mà chèn được mã độc Javascript mình cũng chẳng biết chèn bằng đường nào? Như nói ở trên máy bị root rồi dính mã độc đến nỗi chèn được Javascript vào webview thì nó làm gì cũng được trên cái máy đó :)
     
    baggio021084, hhhh1111, whisky_x24 người khác thích nội dung này.
    1. Gates

      Tham gia:
      21/11/13
      Được thích:
      1,227
      Best Answers:
      0
      Gates
      TÍCH CỰC
      Gates @tin_truc22 Điều bạn nói có nghĩa là:
      - Đầu tiên là phải xem dựa trên tiêu chuẩn nào (có đáng tin cậy) để đánh giá TLS của 1 trang nào đó?
      - Nếu đã tin cậy thì cũng chỉ cần quan tâm đến TLS thôi, những tiêu chí khác (mã hóa client, pinning,...) ko (thực sự) cần thiết?

      Một điều t ko đồng tình với suy nghĩ của bạn ở chỗ sẵn sàng chịu kém bảo mật để hỗ trợ trình duyệt cũ. Trong một số trường hợp nghiêm trọng liên quan đến các TK ngân hàng thì buộc phải luôn cập nhật và chỉ sử dụng các phương thức bảo mật mới nhất. Nếu người sử dụng xài nền tảng cũ thì hãy đến ngân hàng thực hiện giao dịch.
       
    2. lequocvan

      Tham gia:
      23/9/07
      Được thích:
      304
      Best Answers:
      0
      lequocvan
      lequocvan @Gates Mình nghĩ ngân hàng chỉ quan tâm đến tiền & làm thế nào cho hợp lý với hiện tại. Vì có thể những cảnh báo bảo mật chỉ dừng ở chỗ hacker chưa hiện thật được mà chỉ ở cảnh báo chuyên gia.
      Họ nhiều tiền, vì vậy bên cạnh họ cũng buộc phải có chuyên gia bảo mật đẳng cấp nhất nhì.
      Còn bảo mật cấp cao để tuyệt đối vấn đề nÀo đó thì họ sẽ ko làm. Vì hướng đến người dùng là chính như vcb biết bao lần thay đổi giao diện.
       
    3. vumiis

      vumiis Dự bị

      Tham gia:
      1/8/09
      Được thích:
      3
      Best Answers:
      0
      vumiis
      Trứng
      vumiis @tin_truc22 10 LIKE cho bác, phân tích của một người hiểu biết về webapp secu. Về biên tập hoặc admin của trang này mình xin góp ý, những báo cáo này là vấn đề nhạy cảm cần được trao đổi thảo luận trước khi bung lụa lên thông tin đại chúng, nó sẽ ảnh hưởng không tốt đến hình ảnh của các ngân hàng. Vậy khi post cần nói rõ kiểm tra thông tin các độ mạnh của protocol hoặc cipher streng của các site bảo mật ngân hàng hơn là độ bảo mật. Admin nên quản lý các bài viết với nội dung này không khéo bị các ngân hàng kiện lại thì khổ cho tinhte. Dự là sau bài này các trình duyệt của XP hoặc các browser slow version sẽ bị thay thế. Các bác chuẩn bị nâng cấp oS lên để cài được trình duyệt mới nhé.
       
      kenzi_100c thích nội dung này.
      1
  17. kungfu9

    Tham gia:
    15/3/15
    Được thích:
    2,105
    Best Answers:
    0
    kungfu9
    CAO CẤP
    Mod chưa sành về bảo mật mà đi viết bậy bạ thế này thì....
     
    1. Duy Luân

      Duy Luân Không có gì!

      Tham gia:
      16/2/08
      Được thích:
      228,953
      Best Answers:
      2
      Duy Luân
      VIP
      Duy Luân @kungfu9 Góp ý có tính xây dựng thì sẽ thuyết phục và mở mang hơn á, như bạn @tin_truc22
       
    2. tin_truc22

      Tham gia:
      11/6/09
      Được thích:
      377
      Best Answers:
      0
      tin_truc22
      TÍCH CỰC
      tin_truc22 @kungfu9 mình cũng đâu có chuyên sâu cái này đâu, lâu lâu gặp mấy anh em sysadm với bên vnsec nhậu nhẹt chém gió thôi. vài hôm gặp mấy cái lỗi nho nhỏ bên này nọ trên mạng thì toàn pm anh em với nhau chửi cho vui rồi fix chứ chả có ý gì. Quan điểm mình là thà không nói, nói thì nên đúng, chứ nói sai làm mọi người có định kiến, hoặc sai kiến thức thì còn nguy hiểm hơn nhiều.
       
      SilentAngel, androidmsdatvn89 thích nội dung này.
      3
  18. Methylamine

    Tham gia:
    8/5/15
    Được thích:
    2,069
    Best Answers:
    0
    Methylamine
    CAO CẤP
    ACB là trang web có thiết kế tệ nhất hệ mặt trời
     
    1. trungdung143

      Tham gia:
      4/1/10
      Được thích:
      562
      Best Answers:
      0
      trungdung143
      TÍCH CỰC
      trungdung143 @Methylamine Không dễ như bạn nghĩ đâu =))
       
    2. Methylamine

      Tham gia:
      8/5/15
      Được thích:
      2,069
      Best Answers:
      0
      Methylamine
      CAO CẤP
      Methylamine @vietdevelop thiết kế UI/UX thôi :D
       
    3. WesleyNguyen1411

      Tham gia:
      14/8/13
      Được thích:
      1,876
      Best Answers:
      0
      WesleyNguyen1411
      CAO CẤP
      WesleyNguyen1411 @Methylamine 3 triệu USD là toàn bộ việc nhận dạng thương hiệu, không phải 1 mình cái web :)
       
    4. rosekiller

      rosekiller Thành viên

      Tham gia:
      23/1/09
      Được thích:
      75
      Best Answers:
      0
      rosekiller
      rosekiller @Methylamine bác không thể nói thế được, it bên ấy có nhiều bạn thừa sức làm cái web chất như quả đất ấy chứ. nhưng do lợi ích nhóm thì nó thành ra thế này. ai thấy cũng ậm ừ cho qua chuyện thôi, đại loại như " ối nhìn web đúng là đẹp lạ , không giống bất kỳ ngân hàng nào cả, chuẩn thế đấy"
       

Chia sẻ

Đang tải...