Різне · 2 червня 2017, 19:15 65320

Illia Kivatytskyi, QA Engineer

Как зайти в Приват24 для Бизнеса, минуя авторизацию. Со слов ПриватБанка: — «Не бага»!

Добрый день.
Как мы знаем у ПриватБанка для бизнеса появился новый интерфейс (www.privat24.ua). Разработчики, как полагается в таких ситуациях оставили возможность пользоваться старой версией ПриватБанка для бизнеса client-bank.privatbank.ua .

Маленькое отступление... Сразу скажу, предварительно я писал в Privatbank BugBounty program и даже звонил им. В итоге я добился того, чтобы мою заявку рассмотрели и написали резолюцию. Если коротко, то ответ ПриватБанка был: — «Это не бага». Собственно, в этом мы(форумчане) и попробуем разобраться.

Далее последует описание как у меня удалось войти в систему минуя авторизацию.

Preconditions:
1. Заходим в старую версию ПриватБанка для бизнеса client-bank.privatbank.ua (Старая версия).
2. Продвигаемся вглубь интерфейса Карты>Корп.Карты и копируем линк client-bank.privatbank.ua/...ltid=service_business.xsl (Вы можете использовать и другой путь Платежи>по Украине>Создать и т.д. )
3. ОБЯЗАТЕЛЬНО!!! Нажимаем кнопку Выйти. И убеждаемся что мы вышли из системы.

STR:
1. Заходим в ПриватБанк для бизнеса www.privat24.ua (Новая версия) .
2. Продвигаемся вглубь интерфейса Другие услуги>Карты>Корп.Карты или Другие услуги>Платежи>по Украине>Создать или совершаем какой-нибудь платеж (в общем, ведем себя как обычный пользователь который зашел в систему по делу).
3. ОБЯЗАТЕЛЬНО!!! Нажимаем кнопку Выйти. И убеждаемся что мы вышли из системы.
4. Открываем новую вкладку в браузере, и вставляем линк из Preconditions шаг No 2 (client-bank.privatbank.ua/...ltid=service_business.xsl).
5. Мы попадаем в старую версию ПриватБанка для бизнеса миную авторизацию (СМСки, звонки и т.д).

Отсюда следует, что человек который садится после Вас за компьютер, имея ссылку из Preconditions шаг No 2, узнает о Вас самые интимные финансовые подробности (как минимум).

Подобную операцию можно проделать только в течение 30 минут после нажатия кнопки Выход (дефолтное время сессии Приват24).

Я рекомендую, прислушиваться к советам ПриватБанка, которые можно найти по линку privatbank.ua/ru/safeness
Правило No 3. Используйте Приват24, соблюдая меры безопасности:
• Не заходите в Приват24 с компьютеров в общественных местах (интернет-клубах, местах с публичным Wi-Fi).

И напоследок.
Комрады которые пользуются данным сервисом, попробуйте воспроизвести «Эту не багу». Если я что-то делаю неправильно или лыжи не едут, прошу Вас указать это в комментариях.

Спасибо.

Теми: приват24, ПриватБанк

👍ПодобаєтьсяСподобалось0

До обраногоВ обраному0

Facebook

Twitter

LinkedIn

Ctrl + Enter

Ctrl + Enter

Glamurny Petro Buldoser 05.02.2022 23:30

Вот поэтому есть смысл завести у себя в системе отдельный браузер, исключительно для «интимных целей» :) Т.е. запустил браузер, поработал с клиент-банком, вышел, закрыл браузер.

Відповісти

Підтримати

Sergey Levchenko 05.02.2022 22:31

Я вообще не могу зарегиться для бизнеса. После ввода телефона и пароля просто тупо перекидывает в личный кабинет, хотя я нажимаю вкладку Бизнес.

Відповісти

Підтримати

Dmytro Popos 15.11.2018 19:12

Коментар порушує правила спільноти і видалений модераторами.

Dmytro Popos 15.11.2018 19:12

-

Микола Старченко Генеральный директор в Корпорация "Межведомственный центр сертификации" 08.06.2017 11:35

Прочитал статью, проверил — работает. Через 10 мин. пробую снова — не выходит. Правда, есть нюансы) Когда заходишь в старую версию (т.е. выполняешь Pre), то сразу автоматом кидает на новый интерфейс. Для захода в старый интерфейс надо тяпнуть по кнопочке внизу «Повернутись до старого інтерфейсу». После этого в старом интерфейсе полазить по меню и нажать «Вихід». Выполняя STR после входа попадаем сразу на старый интерфейс. Для переключения на новый надо нажать на баннер сверху. После этого получается открытые две сессии, и выходя из нового интерфейса старый остается активным (не помогает даже закрытие вкладки).

Відповісти

Підтримати

Vadim Kopanev Architect 06.06.2017 14:01

видимо сильно мелкий баг, чтобы вознаграждение тебе платить за него, либо знают сами, просто не приоритетно чинить такую фигню

Відповісти

Підтримати

Illia Kivatytskyi QA Engineer 06.06.2017 14:40

Да к черту вознаграждение. Тут идет отрицание того что это Баг.
Но также, сегодня они заблокировали вход в новый интерфейс через privat24.ua.

Відповісти

Підтримати

Gennady Dogaev full-stack web developer (freelance) 05.06.2017 12:17

П24 для бизнеса не пользовался, проверить не могу, но предположу: SPA на куках, ещё и бекенд через жопу реализован (не уничтожает сессию при выходе)

Відповісти

Підтримати

Illia Kivatytskyi QA Engineer 06.06.2017 13:46

Если что, насколько мне известно, Вы можете зайти в Приват24 для Бизнеса, под логином и паролем от обычного Приват24 для физ. лиц.

Відповісти

Підтримати

Микола Старченко Генеральный директор в Корпорация "Межведомственный центр сертификации" 08.06.2017 11:48

да, верно. Если есть привязка, то можно из физ. лица перейти в бизнес.

Відповісти

Підтримати

Illia Kivatytskyi

Татьяна Присяжная 01.12.2017 14:35

как перейти? что нажать?

Відповісти

Підтримати

Микола Старченко

Олексій Пєніє 04.06.2017 22:18

Рискну предположить, что просто сделали через жопу: переведя вход на privat24.ua, весь функционал оставили на домене client-bank.privatbank.ua, и не нашли ничего умнее чем создать ДВЕ СЕССИИ одновременно. А выход закрывает только ОДНУ сессию.

Мой совет — ПРОДОЛЖИ общение с ПБ, но в этот раз добавь зелёные картинки-скриншоты (это чтобы пройти барьер «девочек» которых посадили пообщаться и показать что им не стыдно будет передать багу наверх, что она большая).

Обязательно покажи скриншот с куками после выхода, и красной стрелочкой, что вот она осталась.

Напиши коронную фразу «программистам это исправить 5 минут», но если СРОЧНО не починить, могут возникнуть существенные опасения у корпоративных клиентов, они могут отказаться от ПБ.

Почему так: это бюрократия. Они живут в параллельном мире.

Відповісти

Підтримати

Illia Kivatytskyi QA Engineer 06.06.2017 14:22

Рискну предположить, что просто сделали через жопу: переведя вход на privat24.ua, весь функционал оставили на домене client-bank.privatbank.ua, и не нашли ничего умнее чем создать ДВЕ СЕССИИ одновременно. А выход закрывает только ОДНУ сессию.

Как подтверждение Ваших слов:
Когда мы заходим в Новый интерфейс privat24.ua и с главной страницы нажимаем кнопку Вернутся в старый интерфейс, идет переадресация на главную страницу client-bank.privatbank.ua где нас просят ввести логин и пароль (кажется такого не должно быть).

В 90% пользователи ссылаясь на User eXperience понимают что система их автоматически вылогинила, но это не так. Нам нужно нажать в браузере кнопку Назад, и мы возвращаемся авторизованными в Новый интерфейс.

Но допустим, мы только что познакомились с системой, и любое поведение для нас является приемлемым. Мы вводим логин и пароль, делаем свои финансовые делишки, нажимаем кнопку Выход. И выходим из client-bank.privatbank.ua.
И снова, простое нажатие в браузере кнопки Назад, нас возвращает авторизованными в Новый интерфейс.

Мой совет — ПРОДОЛЖИ общение с ПБ, но в этот раз добавь зелёные картинки-скриншоты (это чтобы пройти барьер «девочек» которых посадили пообщаться и показать что им не стыдно будет передать багу наверх, что она большая).
Обязательно покажи скриншот с куками после выхода, и красной стрелочкой, что вот она осталась.
Напиши коронную фразу «программистам это исправить 5 минут», но если СРОЧНО не починить, могут возникнуть существенные опасения у корпоративных клиентов, они могут отказаться от ПБ.
Почему так: это бюрократия. Они живут в параллельном мире.

Я им отсылал детальное описание со скриншотами. Именно после этих действий создал топик.
И что интересно, сегодня они заблокировали вход в новый интерфейс через privat24.ua. Совпадение).

Відповісти

Підтримати

Олексій Пєніє

Олексій Пєніє 07.06.2017 12:13

егодня они заблокировали вход в новый интерфейс через privat24.ua

Если только по этой причине — очень глупо. Уязвимость сложно эксплуатируемая, наверняка есть воркэракунд. А вот ИСПРАВЛЕНИЕ могли сделать быстро.

В те времена когда я там работал, ответственного сотрудника бы набрали хоть в 3 часа ночи. И уже выяснив что проблема потерпит до утра — исправили бы тром в пожарном порядке.

Собственно всё исправление — это подправить функцию кнопки выхода, которая на джаваскрипте проверит, есть ли функция выхода из корпоративного, и соответственно вызовет её если есть. ТРИ СТРОЧКИ ПРИМИТИВНОГО КОДА.

Ну и тебе соответственно гривен 300 могли бы дать публично, и отвесить пиzдюлей тому сотруднику, который отпинал твоё сообщение. А заодно ПРОВЕРИТЬ все сообщения, которые он отпинал, по результатам проверки возможно уволить. Если то же самое найдут у других сотрудников отдела — уволить начальника.

Но это в нормально организации. В живой. А Приватбанк — медленно умирающая от старости бюрократия.

Відповісти

Підтримати

Illia Kivatytskyi

Illia Kivatytskyi QA Engineer 07.06.2017 14:13

Если только по этой причине — очень глупо. Уязвимость сложно эксплуатируемая, наверняка есть воркэракунд. А вот ИСПРАВЛЕНИЕ могли сделать быстро.

Прочитал новость что вчера у Привата по всем продуктам (Веб-сервисы, банкоматы и т.д.) были Регламентные работы. Сегодня уже все на своих местах, и вход в Новый интерфейс и бага.

Відповісти

Підтримати

Олексій Пєніє

Олексій Пєніє 07.06.2017 16:01

Продолжай общение.

Відповісти

Підтримати

Illia Kivatytskyi

Vitaliy Fedoriv Java Developer 07.06.2017 14:19

Приват відомий своїм ідіотизмом вже хз скільки років. Міняються тільки форми цього ідіотизму.
Років 10 назад можна було зареєструватись в Приват24, навіть не маючи приватівської карти і акт.рахунків.
І от описую сценарій: треба оплатити рахунок через PayPal, Visa Classic, що була прив’язана — expired, в наявності Visa Electron від Аваля, по якій оплата в інеті відключена. Саппорт Аваля: прийдіть у відділення, напишіть заяву. Мля...
Реєструюся в П24. Прив’язую авалівську карточку. Створюю приватівську доларову віртуалку. Перекидую кошти з авалівської карти на віртуалку, через меню П24. Кошти списуються (приходить смска від Аваля) і... на рахунку Привата не з’являються.
Дзвінок в саппорт Привата:
— де бабло ?
— назвіть номер карти
— називаю номери карти Аваля і віртуалки Привата
— а це не приватівська карта
— ця ні, але вона прив’язана до аккаунту
— а як ви відрили аккаунт, якщо у вас немає нашої карти ?
— (мля...) через Інтернет
— (зависають...)
— шукайте по номеру віртуалки
— (...) ми знайшли, але тут наших карт немає, тільки віртуалка
— так я на неї і перекидував
— (на кілька хвилин зависають) а у нас в регламенті написано до одного банківського дня...чекайте...
(через день)
— а у нас в регламенті написано до трьох банківських днів...
(через три дні)
— (...) напевно, проблема в Авалі, до нас нічого не приходило.
причому на той час Аваль вже підтвердив, що пройшло списання.
коротше, глухий номер... У відділенні Привата взагалі руками розводили.
гроші повернули через два місяці, після візиту в Аваль і заяви на chargeback.
P.S.
А через кілька років до того аккаунту ніяк не могли ні нову приватівську карту прив’язати, ні новий аккаунт завести (бо один вже є). Через два дні прибили старий і завели новий.

Відповісти

Підтримати

Олексій Пєніє

Олексій Пєніє 07.06.2017 16:00

Банк — це завжди бюрократія. Будь де в світі. Я не кажу що це гарно, лише що це факт. Вони всюди однакові.

Відповісти

Підтримати

Vitaliy Fedoriv

Ivan Boyaryn Senior Big Data Engineer в Ciklum 04.06.2017 14:02

А я то думаю, чому після кліку на кнопці «Вихід» з сайту Пенсійного фонду України бачу повідомлення

При виході з Особистого кабінету ВЕБ-порталу обов’язково закрийте вкладку ВЕБ-порталу у Вашому веб-браузері та витягніть носій, який містить Ваш ЕЦП (за наявності)

Виявляється, і такі «фічі» бувають у сайтах серйозних компаній... )))

Відповісти

Підтримати

Олексій Пєніє 04.06.2017 22:06

Замість того, щоб багу поправити.

Відповісти

Підтримати

Gennady Dogaev full-stack web developer (freelance) 05.06.2017 12:36

В этом случае скорей не баг, а кое-что другое. Дело в том, что когда пишешь SPA и делаешь авторизацию на токенах, эти токены хранятся в какой-то переменной в памяти. При чем не всегда уследишь сколько таких переменных чтобы их обнулить при выходе. А они имеют какой-то срок действия, причем если это например json web token, то отозвать токен обычно нельзя (он не хранится на сервере). А если это oauth и вытянуть refresh token, то толку от отозванного access token нет. Совет «закрыть вкладку в браузере» может связан быть как раз с этим — чтобы не было шансов ничего достать из памяти приложения. Правда это можно решить банальной перезагрузкой страницы когда человек выходит (window.location.href="site.com"), а не просить закрыть страницу.

Відповісти

Підтримати

Олексій Пєніє

Олексій Пєніє 06.06.2017 00:26

Вау, как через универсальный интерфейс!

Відповісти

Підтримати

Gennady Dogaev full-stack web developer (freelance) 06.06.2017 00:35

Хз что ты имеешь в виду, но это теоретически возможный вариант. И в таком случае это не «не могут баг поправить», а просто мера предосторожности. Потому что удалить токен из локального хранилища легко, а вот гарантировать что он не остался нигде в памяти — невозможно. Хотя хз как там этот пенсийный фонд написан, я не проверял.

UPD. Таки-да, ангулар c2n.me/3L46CO6

Відповісти

Підтримати

Олексій Пєніє

Костя Третяк 02.06.2017 22:25

Отсюда следует, что человек который садится после Вас за компьютер, имея ссылку из Preconditions шаг No 2, узнает о Вас самые интимные финансовые подробности (как минимум).

Просто цікаво, а якщо браузер закрити повністю (не одну закладку, а усі вікна конкретного браузера), а потім відкрити, ви все ще зможете зайти без введення пароля та смс? Дуже сумніваюсь.

Якщо таки ви зможете зайти, то тоді це точно можна назвати багом. Якщо ні — це не баг, а просто несподівана поведінка. Безпека тут не сильно страждає.

Відповісти

Підтримати

Tim Tretyak ASM, TS Consultant в Hewlett Packard Enterprise 03.06.2017 15:02

Ну тут же больше полфорума веб-программеров!
Ясно же, что по выходу не инвалидируется кука и это таки баг, иначе нафига та кнопка выхода вообще?

Відповісти

Підтримати

Костя Третяк

Костя Третяк 03.06.2017 15:09

Ясно же, что по выходу не инвалидируется кука

Це зовсім не очевидно.

иначе нафига та кнопка выхода вообще

Може коли не виходити, то буде ефект «запам’ятате мене», тобто після перезавантаження комп’ютера все ще можна буде увійти. Тобто кнопка «вийти» убиває довго-живучу куку, але ще залишає куку поточної сесії.

Відповісти

Підтримати

Tim Tretyak ASM, TS Consultant в Hewlett Packard Enterprise 03.06.2017 17:00

Може коли не виходити, то буде ефект «запам’ятате мене», тобто після перезавантаження комп’ютера все ще можна буде увійти. Тобто кнопка «вийти» убиває довго-живучу куку, але ще залишає куку поточної сесії.

Ну так вы сами себе и ответили — нужно инвалидировать обе. )

Відповісти

Підтримати

Костя Третяк

Олексій Пєніє 04.06.2017 22:08

Хуже того что не инвалидируется кука — то что она ВООБЩЕ не сверяется с валидностью сессии, которая её создала. Иначе говоря, если эта кука получасовая, другие могут оказаться вечными.

Авторизация в одной системе порождает авторизацию в другой. А вот то же самое для выхода — не сделали. То есть сессия для бизнеса остаётся активной, со всеми вытекающими. И проблема там не в одной куке, а полноценная бага где зависает авторизированная сессия. Со всеми вытекающими, включая возможный эксплойт эккаунта специальной атакой спамом на корпорации, использующие ПБ. Маловероятно, но тем не менее, если даже 1 из 10 000 писем сработает, это уже задница. Просто не представляешь, насколько быстро П24 может взять денег в овердрафт.

Відповісти

Підтримати

Artyom Krivokrisenko 05.06.2017 03:09

Судя по описанию, система так же уязвима к cookie replay attack, что с огромной натяжкой можно назвать багом а не уязвимостью, особенно учитывая, что в 2017 году все нормальные финансовые конторы эти дырки давно позакрывали.

Відповісти

Підтримати

Костя Третяк

Illia Kivatytskyi QA Engineer 06.06.2017 15:16

Просто цікаво, а якщо браузер закрити повністю (не одну закладку, а усі вікна конкретного браузера), а потім відкрити, ви все ще зможете зайти без введення пароля та смс? Дуже сумніваюсь.
Якщо таки ви зможете зайти, то тоді це точно можна назвати багом. Якщо ні — це не баг, а просто несподівана поведінка. Безпека тут не сильно страждає.

Закрытие/открытие браузера не влияет на воспроизводимость баги. В течении 30 мин. вставляю нужный линк и попадаю в систему.

Відповісти

Підтримати

Костя Третяк

Mobile 02.06.2017 22:04

на нада дописать дестроить айди сессии по выходу или при неактивности больше чем 5 минут, работы на 20 минут.

Відповісти

Підтримати

Pavel 02.06.2017 22:00

Это фича, а не баг. :-)

Сервисы привата мало чем могут удивить. Хотя они наименее неудобные среди конкурентов.

Відповісти

Підтримати

Denis Kozenko Senior Java Developer в DataArt 02.06.2017 20:02

Это бага, но не уязвимость. Если вы на чужом компьютере входите в свой приват24 — это уже не безопасно, так как на компьютере может стоять кейлогер или другое приложение и писать трафик.

Відповісти

Підтримати

Eugene Nuribekov SSE 02.06.2017 19:44

На фоне забытых выходов из терминалов пополнения это капля в море. Из последних пяти случаев пополнения — три раза наблюдал незакрытую сессию предыдущего клиента.

Відповісти

Підтримати

Олексій Пєніє 06.06.2017 00:28

Наблюдал? Просто наблюдал?

Відповісти

Підтримати

Eugene Nuribekov

Михайло Солодкий QA 02.06.2017 19:34

О, справді працює!

Відповісти

Підтримати

Підписатись на коментарі

Ваша пошта

Не підписуватись