使用XSS进行保护:IT专业人员敦促劳埃德集团避免网络串扰

一对IT工作者批评劳埃德银行集团(LBG)内的银行提供不合标准的安全保障。该组织否认有任何不妥之处,坚持遵循行业最佳网络安全做法。

三个LBG银行,Lloyds,Halifax和苏格兰银行,都通过运行https实现了传输层安全性,以便事务运行到安全服务器。但是,这三家金融机构仍然容易受到网络钓鱼欺诈者经常利用的常见网络安全漏洞的影响:跨网站脚本(XSS)漏洞。

软件开发人员和信息安全研究人员分别表示,Lloyds,Halifax和苏格兰银行维护的网站都有XSS漏洞,允许攻击者可能阅读和修改登录表单的内容,以及后续页面,如帐户安全银行会议中的信息。

三家Lloyds Banking Group子公司的问题由软件开发商Jim Ley发现并向每家银行报告。缺乏回应促使他接近登记册

Ley开发了一个实时的概念验证,由The Reg看到,每个银行都展示了如何利用未解决的网络缺陷来运行登录收获网络钓鱼攻击。

他警告说,这可以说明,除非该问题得到解决,否则可能会开发出利用网络安全漏洞的网络钓鱼骗局。

独立安全研究员保罗·摩尔证实了我们的推特警告,并补充说哈利法克斯银行很容易受到一些相关问题的影响。

“[ Halifax Bank ]缺乏足够的安全标头允许注入恶意脚本来收集和改变用户输入的任何内容,无论TLS如何,”Moore告诉El Reg

“银行应该在第三方依赖性变得流氓之前部署正确的安全标头......如果他们没有正确部署安全标头,许多网站都会受到攻击,”他补充道。

哈利法克斯银行的安全标题评分为B分

哈利法克斯银行对Sophos的安全标题基准评级为“B” ,表面看起来似乎是过时的等级但却掩盖了问题。据摩尔说,疏漏在于细节。

“A'B'并不坏,但这里'A'和'B'之间的差异是存在CSP [内容安全策略] 1标头。如果他们不允许使用内联脚本,那么他们就会获得“A”并且不会受到这种攻击的影响,“摩尔说。

摩尔定律(良性)验证的概念从哈利法克斯银行演示可以发现在这里,他被判了通过Twitter对信息安全的社区。

El Reg将这些批评转发给LBG的代表,同时提出置评请求。该银行表示欢迎这些报道,同时淡化其重要性:

我们在整个系统中采用多层安全控制。我们认真对待负责任的披露,并始终跟进,以确保遵循最佳方法。

这两位技术人员对此回复都不满意。每个人都独立声明他们发现很难向LBG报告问题。“如果他们让报告过程更容易,我会更高兴,”摩尔评论道。

  • 发表于:
  • 原文链接http://www.theregister.co.uk/2018/09/20/lloyds_banking_insecure
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券