Ivan Marković

Security consultant and researcher

Long experience in designing and implementation of security solutions, mainly oriented on web, mobile and embedded applications. Author of penetration testing tools, recognized by OWASP organization and BackTrack Linux distribution. Researching work includes discovery of vulnerabilities of numeral applications and services, and for these, author received public apreciations by Microsoft Company..

Contact via Linkedin or read interesting staff on Twitter.

Serbian banks owned by public documents

Srbija, godina 2011

Uvod

U cilju kreiranja bolje slike o stanju bezbednosti web sajtova banaka u Srbij i kao i internih sistema koji imaju interakcije sa njima, testirani su svi dokumenti koji se mogu nadi na web prezentacijama banaka a čije se ime može nadi na lokaciji “Udruženje banaka Srbije”: http://www.ubs-asb.com/Default.aspx?tabid=567, ukupno: 32. Sa 32 web prezentacije ukupno je preuzeto 5713 dokumenata. Od toga najveci deo su PDF dokumenti.

Microsoft Office: 478
PDF: 5235

Testiranje dokumenata obuhvata analizu atributa svakog dokumenta sa ciljem pronalaženja detalja koji mogu otkriti vitalne informacije vezane za:

- verzije aplikacija koje se koriste na internim sistemima za kreiranje ovih dokumenata
- autora dokumenta
- komentara u vezi sa revizijama
- informacijama vezanim za vreme koje je provedeno za rad na dokumentu
- informacijama o štampanju dokumenata
- ... i jos mnoge druge korisne informacije o internom sistemu banke.

 

Napomena: Svrha prikupljanja detalja je da pokaže da iskusan napadač može iskoristiti ove informacije za kreiranje targetiranih napada na interne sisteme i zaposlene. Moguce je kreirati takav dokument koji ce sadržati maliciozne akcije koji eksploatišu trenutnu verziju aplikacije za kreiranje dokumenta i uz malu dozu socijalnog inženjeringa poslati ga na email adresu autora.

Link do originalnog dokumenta: http://security-net.biz/files/Napad-na-atribute-online-dokumenata-[primer-banke-u-Srbiji]_Ivan-Markovic-NSS.pdf