Thử nghiệm bảo mật của web và ứng dụng của một số ngân hàng tại VN

Thử nghiệm bảo mật của web và ứng dụng của một số ngân hàng tại VN

Discussion in 'Thông tin công nghệ' started by mrpaint, 24/7/16. Replies: 180. Views: 62,541.

mrpaint
Theo dõi

Thử nghiệm bảo mật của web và ứng dụng của một số ngân hàng tại VN

Thảo luận trong 'Thông tin công nghệ' bắt đầu bởi mrpaint, 24/7/16. Trả lời: 180, Xem: 62541.

Chia sẻ

  1. Levintaeyeon

    Tham gia:
    19/11/10
    Được thích:
    461
    Levintaeyeon
    #97 Levintaeyeon, 25/7/16
    Sửa lần cuối: 25/7/16
    Đây là một dạng bài viết thể hiện đúng cái kiểu người viết "viết mà ko biết mình đang viết gì"

    - Tiêu đề thì ghi là "Kiểm tra bảo mật cho web và ứng dụng", trong bài viết chỉ đề cập đến phần cấu hình TLS/SSL ở server side và client-side. Nên nhớ rằng, đó chỉ là phần rất nhỏ trong tổng thể các vấn đề bảo mật. Vì vậy, tiêu đề mang tính giật tít câu view. Đáng lý ra, tiêu đề phải là "Kiểm tra cấu hình kết nối TLS/SSL của ứng dụng web và mobile" để ko bị nhầm lẫn với các phương pháp kiểm tra khác.

    - Sử dụng các tool có sẵn để thực hiện kiểm tra không phải là cách hay, đôi khi cần manual, người viết không biết (hoặc không thể) thực hiên với vài test cases, mà lại đưa ra kết luận quá vội vã -> Không có tính khách quan cao.

    Đơn cử một ví dụ với Web của BIDV (www.bidv.vn:81). Có thể thực hiện kiểm tra sử dụng openssl, request lên lần lượt với 3 protocol TLSv1, TLSv1.1, TLSv1.2 để lấy thông tin:

    openssl s_client -host bidv.vn -port 81 -tls1

    openssl s_client -host bidv.vn -port 81 -tls1_1

    openssl s_client -host bidv.vn -port 81 -tls1_2

    Kết quả trả về là gì? 3 giao thức này dùng chung 1 cipher suite là DES-CBC3-SHA (POODLE attack)? Tại sao chỉ sử dụng duy nhất 1 cipher cho 3 protocol? Tại sao trong bài viết của người viết ko đề cập được điều này và kết luận "BIDV: vô địch tuyệt đối ở cả web và ứng dụng"?

    Qua scan cho thấy server của BIDV chỉ chấp nhận 3 cipher là AES128-SHA, AES256-SHA và DES-CBC3-SHA.

    - Phần ghi chú thêm của ACB có ghi "công nghệ cũ và có điểm yếu". Người viết ko thực sự biết DH là gì, thấy trong report ghi là weak thì bảo là nó "yếu". Thực tế nếu generate randomize DH parameter đủ dài (2048 bit, 4096 bit) thì vẫn được coi là an toàn. Việc này thực hiện rất dễ dàng, vậy nên ko thể nói là "công nghệ cũ", mà phải nói là "không biết cấu hình"
     
    dthbqna, heorung52, haipyn10 người khác thích nội dung này.
    #97 Levintaeyeon, 25/7/16
    Sửa lần cuối: 25/7/16
  2. Phuongtv_76

    Tham gia:
    15/11/09
    Được thích:
    139
    Phuongtv_76
    #98 Phuongtv_76, 25/7/16
    Sửa lần cuối: 25/7/16
    Đề nghị mod tinhte trả lương cho nhân viên qua BIDV ngay và luôn :D
     
    #98 Phuongtv_76, 25/7/16
    Sửa lần cuối: 25/7/16
  3. nguyễn hoàng cường

    Tham gia:
    11/4/12
    Được thích:
    3
    nguyễn hoàng cường
    Diễn đàn tự do thì khi viết những bài kiểu như này cũng cần nghiên cứu cẩn thận kỹ lưỡng. Không phải viết cái gì thì viết.

    Đồng ý với bạn, cần có những chứng cứ xác thực hơn, chứ không phải là cái bảng nhiều màu nào đấy được vẽ ra không dựa trên cơ sở căn cứ nào của chủ thớt.
     
  4. mrpaint

    Tham gia:
    13/12/08
    Được thích:
    490
    mrpaint
    Chỗ đó không đánh giá luôn đó bạn.

    CA đã từng bị leak private key rồi đó bạn. Tất nhiên là người dùng bình thường thì chả sao, nhưng an toàn hơn thì tại sao không nhỉ?

    Điện thoại hoặc token vẫn có trường hợp mất mát hay bị chôm nha bạn, cẩn thận vẫn hơn.

    Cái đó không dám múa rìu qua mắt thợ, mình chỉ là thằng tester =))
     
    vinhphucng25 thích nội dung này.
  5. mrpaint

    Tham gia:
    13/12/08
    Được thích:
    490
    mrpaint
    Thử mấy cái này dễ ẹt mà hơi lâu chút xíu thôi, mình có để link dẫn tới mấy trang test luôn đấy bạn. Mà cũng toàn thông tin công cộng cả nên mình cứ nói rõ để ai muốn kiểm tra lại thì chạy thử.

    Mình không biết hack bạn ơi :oops:

    Ack, lúc thử mình có dòm mà không thấy dấu "=" nên không nghĩ là base64. Để mình sửa lại phần này. Cảm ơn bạn nhé.
     
  6. mrpaint

    Tham gia:
    13/12/08
    Được thích:
    490
    mrpaint
    Đầu bài mình có nói rõ các bước trong khuôn khổ thử nghiệm rồi mà bạn. Những điểm ngoài lề xin phép không ý kiến. Ví dụ như cách tính điểm của SSL Labs như thế nào là việc của họ, còn trong bài này thì ngưỡng pass là điểm A trở lên. Có nhiều quan điểm liên quan khác nhau xem nên làm thế này hay nên làm thế kia, cái đó chắc để bàn trong một không gian khác chuyên về bảo mật hơn?

    TLS vẫn mitm được nha bạn, đã từng có CA bị leak private key rồi đó huhu. MITM được thì chắc là chèn code tè le vô webview luôn.

    Mật khẩu xài mã hóa một chiều là an toàn nhất luôn đó bạn.

    Vụ Pinning thì cũng như trên, mỗi người một ý nhưng trong bài thử này thì sẽ pass nếu mà có xài. (Không xài thì kiểm tra tiếp đoạn mã hóa.)

    Dà, ngày nào cũng vẫn phải học thêm nữa :(
     
    Airblade14 thích nội dung này.
  7. mrpaint

    Tham gia:
    13/12/08
    Được thích:
    490
    mrpaint
    Chuẩn luôn bạn ơi, mấy cái món này là cứ phải làm định kì. Không biết có cao nhân nào rảnh viết báo cáo thường niên cho mọi người đọc không nhỉ?

    Cái vụ BIDV bị hố hàng, để mình sửa lại. Còn mật khẩu mã hóa một chiều là chuẩn không cần chỉnh nha bác (hoặc xài 2fa).
     
    kenzi_100c thích nội dung này.
  8. mrpaint

    Tham gia:
    13/12/08
    Được thích:
    490
    mrpaint
    Trên trang thấy link về cổng 81 bác ạ. Với cả https hình như không nói gì là cổng 443...
    Cái vụ mã hóa bị nhiều gạch quá, để mình ghi rõ là mã hóa một chiều trong bài ạ.

    Mình chỉ chạy thử được tới đây, sâu hơn không đủ trình rồi.

    Dà, chưa được đi học cái chứng chỉ nào luôn bác ơi. Nội dung bài cũng không có thông tin gì bảo mật hay lỗi đâu ạ.

    Bảo mật nhiều bước vậy thì an toàn hơn nhiều rồi. Hơi bất tiện thôi nhỉ?
     
  9. mrpaint

    Tham gia:
    13/12/08
    Được thích:
    490
    mrpaint
    Anh em làm IT đều biết đời không bao giờ được như mơ :( Khổ lắm cơ.

    Định hỏi nên làm như thế nào thì bác chơi luôn đoạn mở ngoặc =))

    Thử cái đó nguy hiểm lắm bác, với cả chủ yếu là khó =))

    Góp ý của bác hay quá, xin nhận và xin cảm ơn bác nhiều. Ngoài ra này chỉ xét điểm SSL Labs nên không có chạy thêm cái gì khác ạ.
     
  10. trilv@live.com

    trilv@live.com Thành viên

    Tham gia:
    26/11/10
    Được thích:
    7
    trilv@live.com
    Chỉ nhìn lớp sơn mà đánh giá bức tường.
     
    guanghua thích nội dung này.
  11. WesleyNguyen1411

    Tham gia:
    14/8/13
    Được thích:
    602
    WesleyNguyen1411
    3 triệu USD là toàn bộ việc nhận dạng thương hiệu, không phải 1 mình cái web :)
     
  12. squall1411

    Tham gia:
    13/10/07
    Được thích:
    148
    squall1411
    Đọc topic này thấy hay quá, ngày xưa chọn nhầm nghề rồi :(
     
  13. quanqw

    Tham gia:
    3/10/11
    Được thích:
    113
    quanqw
    Tính ra chỉ có kĩ năng xã hội mới bảo mật được thôi. Không cho ai biết dù là người thân.
    Ps: Đang cần tìm một cô người yêu làm ngân hàng mà không có ai chịu.
     
  14. vuonglan_91

    vuonglan_91 Dự bị

    Tham gia:
    25/7/16
    Được thích:
    0
    vuonglan_91
    Các bác cứ yên tâm mà dùng internetbanking, phần này các ngân hàng đều phải bỏ một đống tiền cho các hãng bảo mật. Ngoài lề một chút, các bạn lên đăng ký dịch vụ SMS để kiểm tra số dư, khi thấy bất thường báo vào tổng đài cskh là xong ngay vì việc toàn trong Vietnam thì kiểu gì cũng tìm được, và đây không phải là giao dịch chuyển tiền quốc tế lên không lo gì cả. Chuyển vào ngân hàng A rồi sang ngân hàng B rồi sang ví điện tử thì cũng tóm được thôi, vì liên quan ngân hàng đều phải có thông tin rõ ràng cả...Các bạn có kiến thức thì mình khuyên lên sử dụng vào những việc có ích và kiếm ra tiền hơn ngành này không dễ ăn cơm nhà nước lắm :) Người dùng internet banking không cung cấp mật khẩu cho bên thứ ba ( đọc, nhập ...)là yên tâm an toàn giao dịch. Giao dịch chứng từ giấy cũng rủi ro không kém đâu: Giả giấy chứng minh thư, giả chứ ký ...Internetbanking giờ hiện đại : Chuyền tiền, Gửi tiền online, rút tiết kiệm online (BIDV đã dùng), nạp tiền điện thoại, thanh toán cước internet, truyền hình cáp...sợ thì đưa tiền cho vợ cũng không hết đâu :))
     
  15. BOT LOC

    Tham gia:
    11/3/15
    Được thích:
    796
    BOT LOC
    Em định cài cái App của agribank mà thế này lại thôi. Vì cũng lười ra ngân hàng đăng ký xài app
     
  16. mikan293

    Tham gia:
    2/8/11
    Được thích:
    1,312
    mikan293
    Đang dùng TPBank mà ko thấy có,mai rut hết cắp đit cho an tâm :(.
     
  17. 김대한

    Tham gia:
    1/11/12
    Được thích:
    2,001
    김대한
    #124 김대한, 25/7/16
    Sửa lần cuối: 25/7/16
    ngân hàng Shinhan korea đang dùng còn bị điểm C đợt hack thông tin người dùng nó cũng dính ngân hàng đền khối vi bị mất tiền khách hàng.shinhan việt nam bị điểm F quá tệ hại.
     
    #124 김대한, 25/7/16
    Sửa lần cuối: 25/7/16
  18. levuhoang1234

    levuhoang1234 Thành viên

    Tham gia:
    10/4/16
    Được thích:
    3
    levuhoang1234
    Leak private key là lớn chuyện rồi nha bạn. Private key mà mất thì chắc hacker nó vào tận thâm cung bí sử rồi nên không lấy chuyện test vòng ngoài cào cào vài ba cái bằng ssllab rồi phán là bảo mật hay không được.

    Hash cũng chỉ là một cách để xác thực, nếu attacker có thể access vào db để overwrite hash thì không có ý nghĩa nha bạn. Nên không thể nói dùng hash là an toàn nhất vì an toàn dựa vào rất nhiều yếu tố. Bạn có biết md5 có thể bị trùng không (md5 bị ..... nên người ta mới chuyển qua SHA, giờ từ SHA256 lên SHA512)?

    Mình hoàn toàn đồng ý với những gì bạn tin_truc nói. Ngoài ra, để đánh giá bảo mật của 1 ngân hàng phải cần 1 đánh giá tổng thể, từ web layer, web service, core database, từ lớp hardware đến software logic. Theo mình thì bạn chủ topic này không đủ kinh nghiệm lẫn kiến thức để đi đánh giá về bảo mật, gây hoang mang dư luận.
     
    webzone.vn thích nội dung này.
  19. traind

    Tham gia:
    22/2/12
    Được thích:
    1,047
    traind
    ứng dụng mobile của BIDV khá chuối. Giao dịch dưới 5tr sẽ ko có mã OTP gửi về đt.
     
  20. thinhmaya

    thinhmaya Thành viên

    Tham gia:
    9/1/12
    Được thích:
    155
    thinhmaya
    Mình dùng cả ứng dụng và wed của Vietcombank, đáng ngại nhỉ
     

Chia sẻ

Đang tải...