ธนาคารไทยพาณิชย์ใช้ข้อมูลใน URL ตรวจสอบผู้ใช้ในเว็บ EasyFund ผู้ใช้ทุกคนควรระวังทำประวัติเว็บรั่วไหล

By: lew
FounderJusci's WriterMEconomicsAndroid
lew's blog on 07/12/11 0:54 Tags:
SCB

มีรายงานในห้องสินธรเว็บ Pantip.com ว่าบริการ EasyFund ของธนาคารไทยพาณิชย์ว่านั้นส่งข้อมูลสำคัญหลายอย่างไปกับ URL ที่อยู่ใน iframe ของเว็บธนาคาร ทำให้เมื่อลิงก์เหล่านี้หลุดออกสู่ภายนอก ผู้ที่รู้ค่าพารามิเตอร์ที่ถูกต้องจะสามารถเข้าใช้งานเว็บได้เสมือนเจ้าของบัญชี

ปรกติแล้วเว็บในส่วนของ EasyFund จะถูกรวมอยู่กับเว็บ SCB Easy ภายใต้ iframe ทำให้เบราเซอร์มองไม่เห็น URL จริงๆ แต่หากใครสามารถดึง URL เหล่านั้นออกมาได้ จะพบว่ามีค่าหลายอย่างเช่นหมายเลขบัญชี, หมายเลขผู้ใช้, ตลอดจนหมายเลขประจำ session ซึ่งโดยปรกติแล้วค่าเหล่านี้ควรถูกเก็บไว้กับ cookie มากกว่าที่จะส่งไปมากับ URL เช่นนี้

ผู้ใช้ชื่อว่า pjuk (คาดว่าเกี่ยวข้องกับการพัฒนา) ออกมาระบุว่า URL เหล่านี้จะใช้ไม่ได้หากผู้ใช้ได้ logout อย่างถูกต้องแล้ว และแม้จะเข้าใช้งานได้ แต่การซื้อขายก็ไม่สามารถทำจนสำเร็จได้

อันตรายของช่องโหว่นี้คือ URL เหล่านี้จะถูกบันทึกไว้ในประวัติการใช้งานของเบราเซอร์ ระหว่างที่ทางธนาคารยังไม่แก้ไข ผู้ใช้ทุกคนควรระวังไม่ใช้งาน SCB Easy ด้วยเครื่องสาธารณะ เพื่อป้องกัน URL เหล่านี้รั่วไหลออกไปจากเครื่อง และกด logout ทุกครั้งที่เลิกใช้งาน ในส่วนของการดักฟังนั้นไม่น่ากังวลนักเนื่องจากการเชื่อมต่อเข้ารหัสทั้งหมด การดักฟังหากไม่มีการปลอมแปลงใบรับรอง SSL แฮกเกอร์ก็ไม่สามารถรู้ URL ได้

ที่มา - Pantip.com

Comments

By: mr.k
mr.k's blog
on 07/12/11 0:59 #361238 toggle
mr.k's picture

รอแถลงการณ์

By: Wizard.
iPhoneWindows PhoneAndroidUbuntu
Wizard.'s blog
on 07/12/11 1:09 #361242 toggle
Wizard.'s picture

เออ... เค้าคิดยังไงถึงใช้วิธีนี้... ส่งไปกะ url เนี่ยนะ...

...

By: BLiNDiNG
AndroidUbuntuWindowsIn Love
BLiNDiNG's blog
on 07/12/11 1:19 #361249 Reply to:361242 toggle
BLiNDiNG's picture

dev ฝึกหัดมั้งครับ -.-' ต่อไปอาจต้องจ้างแฮคเกอร์สักคนไว้ตรวจงาน

By: toooooooon
iPhoneWindows PhoneAndroidBlackberry
toooooooon's blog
on 07/12/11 8:41 #361327 Reply to:361249 toggle
toooooooon's picture

ถึง dev จะฝึกหัด แต่ระบบใหญ่ขนาดนี้จะต้องมี SA เน่อ

... เหอะๆ

By: TiOnline
iPhoneWindows PhoneAndroidSymbian
TiOnline's blog
on 07/12/11 10:03 #361366 Reply to:361327 toggle
TiOnline's picture

WebApp ของธนาคารส่วนใหญ่ถูกส่งต่อกันแบบทาญาติอสูร มันผ่านมือมาเยอะ จึงมีหลุดไปเยอะเช่นกันซึ่งบางครั้งการแก้ไข Source Code เพื่อให้เข้าสู่มาตราฐาน มันวุ่นวายและอาจทำให้งานเพิ่มงานงอก อีกเยอะแยะมากมาย ถ้าไม่มีเจ้าภาพ Programmer หรือ SA ที่ได้รับมรดกมาก็ต้องต่อยอดของเดิม ซึ่งมันอาจเละอยู่แล้ว เพื่อให้มันใช้งานได้ตามความต้องการใหม่ๆ ที่ธนาคารต้องการ

By: dangsystem
iPhoneWindows PhoneAndroidWindows
dangsystem's blog
on 07/12/11 10:41 #361387 Reply to:361366 toggle
dangsystem's picture

+1 พูดยังกับทำงานธนาคารแนะ

By: TiOnline
iPhoneWindows PhoneAndroidSymbian
TiOnline's blog
on 07/12/11 11:04 #361395 Reply to:361387 toggle
TiOnline's picture

เว็บธนาคารบางแห่ง ที่หลายท่านใช้อยู่ตอนนี้อาจผ่านขี้มือผมมาแล้วก็ได้ เย้ย.. ผ่านมือผมมาแล้วก็ได้

By: BLiNDiNG
AndroidUbuntuWindowsIn Love
BLiNDiNG's blog
on 07/12/11 11:34 #361408 Reply to:361327 toggle
BLiNDiNG's picture

SA ในไทยส่วนใหญ่ไม่ Geek นะครับ (ไม่รู้ทำไม - -?)

By: Architec
ContributorWindows Phone
Architec's blog
on 07/12/11 12:09 #361419 Reply to:361408 toggle
Architec's picture

ไม่โปรแต่เน้น seniority ครับ (โคตรเพลีย)

By: thana19
AndroidRed HatUbuntuWindows
thana19's blog
on 07/12/11 12:48 #361435 Reply to:361419 toggle
thana19's picture

+๙๙๙

thanaj.wordpress.com

By: lancaster
ContributoriPhoneAndroidWindows
lancaster's blog
on 07/12/11 12:21 #361421 Reply to:361327 toggle
lancaster's picture

ถ้างั้น SA ก็ควรรู้ตัวนะครับว่าทำอะไรลงไป

By: pwblog
Blackberry
pwblog's blog
on 07/12/11 8:26 #361322 Reply to:361242 toggle
pwblog's picture

ประมาณนั้นเอาคนไม่รู้เรื่องมาออกแบบระบบ

apple black friday 2012

By: bluemoon
ContributorFaceblog Official
bluemoon's blog
on 07/12/11 1:13 #361243 toggle
bluemoon's picture

ประโยครองสุดท้าย ดักฟักน่าจะเป็นดักฟังเปล่าฮับ...

By: lew
FounderJusci's WriterMEconomicsAndroid
lew's blog
on 07/12/11 1:16 #361245 Reply to:361243 toggle
lew's picture

อุ่ย - -'

LewCPE's Google+

By: mr_tawan
ContributoriPhoneAndroidWindows
mr_tawan's blog
on 07/12/11 1:27 #361254 Reply to:361245 toggle
mr_tawan's picture

ติดเรทขึ้นกระทันหัน 55

By: AlninlA
ContributorAndroidUbuntu
AlninlA's blog
on 07/12/11 10:02 #361363 Reply to:361243 toggle
AlninlA's picture

เพิ่มอีกที่ครับ

ธนาคารไทยพาณิชย์ว่านั้นส่งข้อมูล

By: mr_tawan
ContributoriPhoneAndroidWindows
mr_tawan's blog
on 07/12/11 1:30 #361255 toggle
mr_tawan's picture

ผมคิดว่า เวปของธนาคารและโปรดักท์การเงินหลาย ๆ ตัวน่าจะทำพลาดแบบนี้เหมือนกันนะครับ

... คิดว่าใช้ HTTPS แล้วจะส่ง Parameter ผ่าน Get Method ไปโดยที่คิดว่ามัน Secure พอแล้ว 55

By: kamij33
Windows PhoneWindows
kamij33's blog
on 07/12/11 1:42 #361262 Reply to:361255 toggle
kamij33's picture

https มันน่าจะกันพวก man in the middle นะคับ ส่วน GET หรือ POST ไม่ต่างหรอกครับ tool ง่ายๆอย่าง firebug หรือ f12 ของ chrome และ ie ก็เปิดได้ทั้ง 2อย่าง ทางที่ดีก็ encrypt ค่า parameter ต่างๆที่ทำให้เข้าใจได้ยาก แล้วใช้ csrf ป้องกันอีกทีนึง

By: redmaster
redmaster's blog
on 07/12/11 1:36 #361259 toggle
redmaster's picture

พี่จุก(pjuk) นี่เป็นนักพัฒนาของ SCB เหรอครับ อ่านโพสพี่แกมาหลายเดือนนึกว่าเป็นเจ้าหน้าธนาึารด้านการลงทุนอะไรสักอย่าง -..-

By: lew
FounderJusci's WriterMEconomicsAndroid
lew's blog
on 07/12/11 1:43 #361264 Reply to:361259 toggle
lew's picture

ไม่ทราบครับ แต่เห็นมาตอบแทน เลยคาดว่าจะเกี่ยวข้องทางใดทางหนึ่ง

LewCPE's Google+

By: toooooooon
iPhoneWindows PhoneAndroidBlackberry
toooooooon's blog
on 07/12/11 9:07 #361335 Reply to:361259 toggle
toooooooon's picture

พี่จุกแก ไม่อาจทราบได้ว่ามีตำแหน่งอะไร แต่จับฉ่ายมาก ใช้ความรู้ด้านการลงทุน แก้ปัญหาให้ user ได้สารพัด

By: psemanssc
Blackberry
psemanssc's blog
on 07/12/11 9:37 #361350 Reply to:361259 toggle
psemanssc's picture

แกเหมือนเป็นคอลเซนเตอร์ แบบที่ห้องมาบุญครองมี call center ของพวก AIS True Dtac มาตอบมาคอยแก้ปัญหาให้อะครับแทบจะ24ชั่วโมงเลยด้วย มีหลายยี่ห้อทำเหมือนกันนะ ที่เคยเห็นก็รถฟอร์ด ห้างสรพพสินค้าเซนทรัล พวกนี้มีคอลเซนเตอร์ในเว็บพันทิปด้วย สงสัยพี่จุกแกคงไปถามพวกเจ้าหน้าที่ที่เกี่ยวข้องแล้วจึงมาตอบด้วยครับ ผมก็เห็นแกโพสตอบปัญหาของธนาคารนี้ตลอดเหมือนกัน

By: spectrum
iPhone
spectrum's blog
on 07/12/11 1:37 #361260 toggle
spectrum's picture

ตั้งแต่การตั้งพาสเวิร์ดปกติผมตั้ง13หลักขึ้นไป(สำหรับอีแบงค์กิ้ง) แต่ขอธนาคารไทยพานิชย์ ไม่ยอมให้ตั้งยาวขนาดนั้น

By: John
iPhoneWindows PhoneAndroidSymbian
John's blog
on 07/12/11 8:53 #361332 Reply to:361260 toggle
John's picture

+1 นั่นสิให้แค่ 8 ตัวเองตั้งรหัสได้ไม่ถูกในเลย

By: lingjaidee
Windows PhoneAndroidWindows
lingjaidee's blog
on 07/12/11 1:45 #361265 toggle
lingjaidee's picture

เผลอที่ไม่ได้ใช้ SSL?

By: Bongbank
ContributoriPhoneAndroidBlackberry
Bongbank's blog
on 07/12/11 2:22 #361272 toggle
Bongbank's picture

เจ้าของกระทู้นั้นคือ @icez Orz

By: superballsj2
iPhoneWindowsIn Love
superballsj2's blog
on 07/12/11 8:44 #361329 toggle
superballsj2's picture

แหม ทำไปได้

WoW

By: NgOrXz
iPhoneAndroidWindows
NgOrXz's blog
on 07/12/11 8:47 #361330 toggle
NgOrXz's picture

กรรมแล้ว ต้องมีจดหมายเปิดผลึกไปให้ SCB และทำการแก้ไขด้วยนะแบบนี้ไม่ดีเลย

©NgOrXz™® แมนเชสเตอร์ยูไนเต็ด เก่งที่สุดในโลก

By: soginal
Android
soginal's blog
on 07/12/11 9:05 #361333 toggle
soginal's picture

อ่านแล้วนึกถึงบริษัทผม ที่โปรแกรมเมอร์คนเก่าเก็บ connection string ไว้ใน cookie :)

  1. "If debugging is the process of removing software bugs, then programming must be the process of putting them in."
  2. "Life like binary tree"
  3. "I need emoticon"
By: vaLVE
iPhone
vaLVE's blog
on 07/12/11 9:10 #361337 toggle
vaLVE's picture

เห็นภาพประกอบข่าวแล้ว เหมาะกะหัวข้อข่าวมากครับ

ไปด้วยกัน ไปได้ไกล ติดไปกะURLกันเลยทีเดียว

By: bahamutkung
ContributorAndroidWindows
bahamutkung's blog
on 07/12/11 9:58 #361362 Reply to:361337 toggle
bahamutkung's picture

มุขนี้ +1

"With the first link, the chain is forged. The first speech censured, the first thought forbidden, the first freedom denied, chains us all irrevocably."

By: AMp
In Love
AMp's blog
on 07/12/11 9:21 #361340 toggle
AMp's picture

คุ้นๆ ว่า scbeasy มี consultant ด้าน security เลยนี่ .... ป้องกันแม้กระทั่งการคลิกขวา แต่ดันลืมป้องกันเรื่องพื้นๆ แบบนี้

By: mr.k
mr.k's blog
on 07/12/11 10:08 #361370 Reply to:361340 toggle
mr.k's picture

คลิกขวา ป้องกันทำไมครับไม่เข้าใจ

By: TiOnline
iPhoneWindows PhoneAndroidSymbian
TiOnline's blog
on 07/12/11 10:33 #361385 Reply to:361340 toggle
TiOnline's picture

ถ้าใช้ FireFox พอโหลดหน้านั้นเสร็จ ก็เข้าไปปิด JavaScript ก็คลิกขวา ได้แล้ว

By: UltimaWeapon
AndroidUbuntuWindows
UltimaWeapon's blog
on 07/12/11 15:27 #361508 Reply to:361340 toggle
UltimaWeapon's picture

ป้องกันการคลิกขวาเป็นอะไรที่แบบ ไม่ไหวสุดๆเลยคับ เอาเป็นว่า PayPal เขาก็ไม่ได้ป้องกันการคลิกขวา

เว็บธนาคารในไทบแทบทุกเจ้าผมเห็นแล้วสิ้นหวังสุดๆ

My Facebook My Blog

By: nostalgias
AndroidWindowsIn Love
nostalgias's blog
on 07/12/11 20:41 #361656 Reply to:361340 toggle
nostalgias's picture

ถ้าใช้โครมกดนี่นิดนั่นหน่อย ก็ปิดการใช้ JS ได้แล้วละครับ - -

By: hisoft
ContributorWindows PhoneWindows
hisoft's blog
on 07/12/11 11:19 #361405 toggle
hisoft's picture

ผมใช้ InPrivate Browsing ตลอดเวลาเข้าหน้าพวกนั้น ช่วยได้ไหมครับ?

 

The Phantom Thief

By: Elysuim
Windows
Elysuim's blog
on 07/12/11 11:59 #361415 Reply to:361405 toggle
Elysuim's picture

อยากรู้ด้วยคนครับ

USER Name ผิดละครับ มันต้องเป็น Elysium

By: icez
ContributoriPhoneAndroidRed Hat
icez's blog
on 07/12/11 12:35 #361424 Reply to:361405 toggle
icez's picture

ช่วยได้ระดับนึงครับ แต่ต้องระวังการ copy link หลุดออกมาอย่างที่ในกระทู้บอกไว้ครับ (โดยเฉพาะการ copy ลง word หรือ field ที่รองรับ rich text format)

By: kowito
AndroidUbuntu
kowito's blog
on 07/12/11 14:02 #361462 Reply to:361424 toggle
kowito's picture

แต่ถ้าเกิดโดนใครแอบฝังโปรแกรมดักในเครื่องก็ไม่ได้ช่วยอะไรเลย

By: kajokman
ContributorAndroidIn Love
kajokman's blog
on 07/12/11 12:35 #361425 Reply to:361405 toggle
kajokman's picture

น่าจะได้ครับ ถ้าจำไม่ผิด incognito mode ของ Chrome จะไม่เก็บ history เมื่อทำการปิดโหมดนั้นแล้ว

By: Perl
ContributorUbuntu
Perl's blog
on 07/12/11 14:38 #361485 Reply to:361405 toggle
Perl's picture

น่าจะช่วยได้ครับ เพราะหลังจากปิด Browser หรือปิดโหมดนี้ไปแล้ว Session ทุกอย่างที่เคยใช้งาน รวมไปถึง Cookie ไม่เว่นแม้กระทั่ง Clipboard จะหายไปหมดครับ

ecution.style

By: anu
ContributorWindows Phone
anu's blog
on 07/12/11 12:42 #361430 toggle
anu's picture

อันตรายแค่ ถ้ามีคนเปิด History ของ Browser แล้ว Session ยังไม่หมดอายุก็จะเข้าไปใช้งานได้ (แต่ก็จะสั่งซื้อขายไม่ได้)

ส่วน Man In The Middle ดักไปใช้หมดปัญหาเพราะเป็น HTTPS

ถ้าเล่นร้านเน็ตใช้ Private Browsing // InPrivate Browsing // Incognito ก็ปลอดภัยแล้ว หรือ Clear History / Cookie ก็ได้

/* ยกเว้นโดน Key Logger */

By: pd2002
pd2002's blog
on 07/12/11 16:11 #361537 Reply to:361430 toggle
pd2002's picture

keylogger เครื่องไหนในโลกก็ไม่ปลอดภัย -__-'''''

By: saknarak
Android
saknarak's blog
on 07/12/11 17:59 #361592 Reply to:361430 toggle
saknarak's picture

พอจะมีวิธีหลบ key logger ครับ ผมเคยเอาโปรแกรมพวกนี้มาลองดู พบว่าการหลบคือ อย่าพิมพ์ password ตรง ๆ ให้พิมพ์อ้อม ๆ เช่น password คือ Pa$$w0rd

ก็ให้พิมพ์ w0rd แล้วเอา mouse จิ้มข้างหน้า เติม $$ แล้วจิ้มข้างหน้า เติม Pa เข้าไป อาจจะพิมพ์เกินแล้วลบบางตัวออกก็ได้ พูดง่าย ๆ ก็คือทำยังไงก็ได้ ให้ไม่พิมพ์ pass ลงไปตรง ๆ แบบนี้ key logger จะได้แต่ sequence ที่พิมพ์ไป น่าจะพอช่วยได้ยามฉุกเฉิน

By: Fourpoint
Windows PhoneAndroidSymbian
Fourpoint's blog
on 07/12/11 19:45 #361618 Reply to:361592 toggle
Fourpoint's picture

ถ้าแบบนั้นใช้ on-screen keyboard ก็ได้ครับ ใน windows น่าจะมีอยู่แล้ว ใช้เมาส์คลิกๆเอา ยกเว้นว่าจะขนาดแอบเก็บภาพเคลื่อนไหวเลย ก็คงกันไม่ได้แล้วล่ะ

By: Jonathan_Job
ContributoriPhoneSymbianUbuntu
Jonathan_Job's blog
on 07/12/11 13:47 #361458 toggle
Jonathan_Job's picture

ผมว่า SSL Strip ก็ไม่น่ารอดแล้วมั้ง เฮอๆๆ

By: xpthai
xpthai's blog
on 08/12/11 14:18 #362076 toggle
xpthai's picture

ในฐานะ User SCBEASY.com รู้สึกว่า ไม่ค่อยสบายใจ กับการใช้งานธนาคารออนไลน์เท่าไรเลย แต่ก็จำเป็นต้องใช้ ดีที่ แจ้งปปช.ไป 50 ล้าน (ที่เหลือเก็บไว้บ้าน หุหุ)