¿Representa algún riesgo el envío de archivos de imágenes en http en una aplicación segura? [duplicar]

Navega tus respuestas
1

Me encontré con este escenario recientemente, donde una aplicación móvil utilizada para la banca está enviando solicitudes HTTP para imágenes GIF y solicitudes HTTPS para todas las demás transacciones. Pero las solicitudes a las imágenes GIF se envían a un dominio diferente y las solicitudes a transacciones relacionadas con bancos se envían a otro dominio diferente. ¿Este comportamiento de esta aplicación plantea algún riesgo de seguridad?

Quiero decir, ¿puede la solicitud http & ¿Se ha manipulado la respuesta para realizar cualquier tipo de ataques?

Si es posible, ¿cómo puede ser explotado?

    
pregunta shriram pugazendhi 04.06.2015 - 08:51
fuente

3 respuestas

0

Además de los problemas expuestos por otras respuestas, considere el hecho de que un atacante podría hacerse pasar por la red de entrega de contenido utilizada por el banco (falsificación de ARP, falsificación de DNS, falsificación de IP ...) y enviar imágenes creadas, posiblemente incluyendo :

  • imágenes con JS activo (contra navegadores antiguos o mal codificados que aún aceptan JS en archivos SVG, y si la configuración de la política del mismo origen del banco incluye el CDN como un origen de confianza para el dominio principal)
  • imágenes con exploits contra el motor de renderizado del navegador; incluso si el atacante solo obtiene la capacidad de ejecutar código arbitrario en el proceso de espacio aislado, ese proceso ocurre para permitir que el atacante realice transacciones bancarias ...
respondido por el Steve DL 04.06.2015 - 12:35
fuente
1

Si los recursos HTTP se cargan en una página HTTPS, el icono del candado desaparecerá del navegador del cliente porque la página no está bien protegida.

Esto es muy malo porque los usuarios no podrán distinguir entre el sitio de banca real y el sitio de phishing. (Con suerte, la mayoría de los usuarios notarán la ausencia de un candado y saldrán de inmediato).

    
respondido por el squeamish ossifrage 04.06.2015 - 11:11
fuente
0

Si transfieren esas imágenes chipTAN parpadeantes también a través de HTTP es posible extraer los detalles de la transacción de esa imagen. Esto rompería la confidencialidad del objetivo de seguridad.

Al modificar la imagen, puedes engañar a alguien para que genere un TAN para una transacción de tu elección. Sin embargo, esto requeriría que la víctima no verifique los datos en su dispositivo chipTAN.

    
respondido por el fr00tyl00p 04.06.2015 - 10:51
fuente

Lea otras preguntas en las etiquetas

Cifrado de credenciales de usuario usando AES: cómo ocultar la clave Solución para ataques de degradación de protocolo