L'invio di file di immagini in http in un'applicazione sicura comporta rischi? [duplicare]

Naviga le tue risposte
1

Mi sono imbattuto recentemente in questo scenario, in cui un'applicazione mobile utilizzata per il servizio bancario invia richieste HTTP per immagini GIF e richieste HTTPS per tutte le altre transazioni. Ma le richieste alle immagini GIF vengono inviate a un dominio diverso e le richieste relative alle transazioni bancarie vengono inviate a un altro dominio diverso. Questo comportamento di questa applicazione pone dei rischi per la sicurezza?

Voglio dire, può la richiesta http & la risposta può essere manomessa per eseguire qualsiasi tipo di attacco?

Se possibile, come può essere sfruttato?

    
posta shriram pugazendhi 04.06.2015 - 08:51
fonte

3 risposte

0

Oltre ai problemi esposti da altre risposte, considera il fatto che un utente malintenzionato potrebbe impersonare la rete di distribuzione del contenuto utilizzata dalla banca (spoofing ARP, spoofing DNS, IP spoofing ...) e inviare immagini create, possibilmente incluse :

  • immagini con JS attivo (contro i browser vecchi o mal codificati che accettano ancora JS nei file SVG e se la configurazione della stessa politica di origine della banca include la CDN come origine attendibile per il dominio principale)
  • immagini con exploit contro il motore di rendering del browser; anche se l'hacker ottiene solo la possibilità di eseguire codice arbitrario nel processo sandbox, tale processo consente all'autore dell'attacco di eseguire transazioni bancarie ...
risposta data 04.06.2015 - 12:35
fonte
1

Se le risorse HTTP sono caricate in una pagina HTTPS, l'icona del lucchetto scomparirà dal browser del client perché la pagina non è protetta correttamente.

Questo è molto grave perché gli utenti non saranno in grado di distinguere tra il vero sito bancario e un sito Web di phishing. (Si spera che la maggior parte degli utenti noterà l'assenza di un lucchetto e uscirà immediatamente.)

    
risposta data 04.06.2015 - 11:11
fonte
0

Se trasferiscono quelle immagini chipTAN lampeggianti anche su HTTP è possibile estrarre i dettagli della transazione da quella immagine. Ciò spezzerebbe la riservatezza dell'obiettivo di sicurezza.

Modificando l'immagine potresti indurre qualcuno a generare un TAN per una transazione di tua scelta. Tuttavia, ciò richiederebbe alla vittima di non verificare i dati sul proprio dispositivo chipTAN.

    
risposta data 04.06.2015 - 10:51
fonte

Leggi altre domande sui tag

Crea certificato OpenVPN / easy-rsa solo dalla chiave pubblica aggiunta di sale nell'hashing? [duplicare]