Digital Security Research Group: Ежегодное исследование безопасности систем ДБО
Digital Security Research Group представлена атака, позволяющая установить ЭЦП на поддельное платежное поручение при использовании токенов или смарт-карт без заражения рабочей станции клиента.
Исследовательский центр Digital Security Research Group (DSecRG) представил результаты ежегодного исследования безопасности отечественных систем ДБО.
В 100% исследуемых систем были выявлены ошибки класса XSS (межсайтовый скриптинг).
Данный тип уязвимости является вторым по популярности в списке уязвимостей OWASP TOP 10. Чтобы показать, что в контексте работы системы ДБО данный тип ошибок является действительно опасным, был разработан способ использования данной уязвимости для обмана пользователя и установки ЭЦП на поддельное платежное поручение даже в случае использования защиты в виде смарт-карты или токенов. Такая атака возможна без заражения рабочей станции клиента банка.