Digital Security Research Group: Ежегодное исследование безопасности систем ДБО

Это интересно

Digital Security Research Group представлена атака, позволяющая установить ЭЦП на поддельное платежное поручение при использовании токенов или смарт-карт без заражения рабочей станции клиента.

Исследовательский центр Digital Security Research Group (DSecRG) представил результаты ежегодного исследования безопасности отечественных систем ДБО.

В 100% исследуемых систем были выявлены ошибки класса XSS (межсайтовый скриптинг).

Данный тип уязвимости является вторым по популярности в списке уязвимостей OWASP TOP 10. Чтобы показать, что в контексте работы системы ДБО данный тип ошибок является действительно опасным, был разработан способ использования данной уязвимости для обмана пользователя и установки ЭЦП на поддельное платежное поручение даже в случае использования защиты в виде смарт-карты или токенов. Такая атака возможна без заражения рабочей станции клиента банка.

Подробнее…

Источник: http://dsec.ru/press_releases/?news_id=296