SEB Online Banking Site Vulnerable

Share: Email Story Twitter Facebook Stumbleupon Add to Any
by AlanEvans | September 14, 2007 at 11:45 am
529 views | 0 Recommendations | 0 comments

German news site Heise.de reports that the online banking website of SEB, which recently received an award for excellence from psychonomics AG, is in fact full of security flaws.

The reporter accidentally discovered, whilst attempting a wire transfer, that it was possible to load arbitrary pages within the site's frameset: A would-be phisher's dream!  And that was only the beginning ... (full report in German:)


Ooops -- das war nicht ganz das, was ich mir von einer ausgezeichneten Website versprochen hatte. Beim zweiten Hinsehen blieb mein Blick an der Fehlermeldung hängen: Was war das? In der Adresszeile stand http://www.seb-bank.de/home.html?meldung... und der Server konnte meldung.php.html nicht finden? Konnte ich dem Server etwa über Parameter in der URL sagen, was er in die Seite nachladen sollte? Mein Jagdinstinkt erwachte!

Tatsächlich: Ein kurzer Test mit http://www.seb-bank.de/home.html?heisec lieferte:

The requested URL /heisec.html was not found on this server

Ob der wohl auch externe Seiten nachlädt? Bei der Übergabe von "http://www.heisec.de" beschwerte sich der Server erstmal nur, dass /http://www.heisec.de.html nicht zu finden sei. Aber das "http://" braucht es ja auch nicht unbedingt; Minuten später war es vollbracht: http://www.seb-bank.de/home.html?//www.h... öffnete diese Seite:

Source: heise.de

Advertisement
Share: email story | add to any | | facebook | stumbleupon

Comments (0)

This story was created over 3 months ago, the comment thread is now closed.

in , , , , , , , ,

closeSign in to NowPublic

Not a member?

JoinIt's free!

is reporting from
Member
NP Rank: