Sikkerhet
Ansvar, noen?
Er det riktig at det er vi hobbyhackere som skal sørge for at sikkerhetshull i programvare oppdages og rettes, gratis?
De fleste sikkerhetshull som oppdages, oppdages nok av personer som gjør dette på fritiden, uten noe form for betaling utenom mestringsfølelsen det gir å oppnå noe slikt.
Svar fra Nordea
Bare et par dager etter at jeg offentligjorde sårbarhetsrapporten om feilen i Nordea sin nettbank mottok jeg følgende e-post.
Hei,
Viser til dine e-post henvendelser til Nordea vedrørende din oppdagelse av et sikkerhetshull i innloggingsløsningen i nettbanken.
Takk for at du har gjort oss oppmerksom på overnevnte.
Vi har som følge av dette implementert en løsning som skal ha rettet opp sikkerhetshullet.
Nordea ASA Nettbetaling, XSS sårbarhet
På grunn av manglende filtrering av POST/GET parameteren 'account' er Nordea ASA sin autentiseringsløsning for innlogging til nettbetaling sårbar for XSS angrep. Angriper kan injisere ondsinnet kode inn i innloggingsbildet noe som for eksempel kan føre til sofistikerte typer av phishing.
Les hele rapporten her.
Search
Archive
- December 2011 (5)
- August 2011 (1)
- July 2011 (2)
- March 2011 (1)
- February 2011 (2)
- January 2011 (1)
- August 2009 (3)
- January 2009 (3)
- December 2008 (3)
- September 2008 (1)
User login
