NovaEnergija.net
  • Vesti
  • ESG
  • Marketing
  • Mediji
  • IKT
  • Preduzetništvo
  • E-uprava
  • E-prodaja
  • Kolumne
  • Društ. mreže
  • Projekti
    • Konferencija
    • Sedam kulturnih vrednosti
  • O NAMA

NovaEnergija.net

  • Vesti
  • ESG
  • Marketing
  • Mediji
  • IKT
  • Preduzetništvo
  • E-uprava
  • E-prodaja
  • Kolumne
  • Društ. mreže
  • Projekti
    • Konferencija
    • Sedam kulturnih vrednosti
  • O NAMA
E-uprava

Pristup novoj aplikaciji ePorezi odvija se preko nezaštićene HTTP veze?!

written by Jelena Jovičić May 26, 2017

Prema pisanju medija, Narodna banka Srbije nasela je na phising, više o tome čitajte OVDE, kada je ukradeno 175.000 evra. Istog dana kada je objavljenja vest, Poreska uprava Srbije objavila je novu aplikaciju ePorezi, koja je navodno nezaštićena.

Na svom Fejsbuk profilu o tome je juče pisao Goran Rakić, autor bloga Goran Rakić & Škrabalica, a njegov status vam prenosimo u celosti:

“Narodna banka Srbije je nasela na phishing, kaže novinska vest, a istovremeno Poreska uprava je danas objavila novu aplikaciju gde se elektronsko potpisivanje preuzetog XML dokumenta odvija preko nezaštićene HTTP veze.
Iniciranje potpisivanja obavlja se preko specijalnog linka, što dozvoljava phishing napad. Ovakvo pokretanje aplikacije jeste uobičajno rešenje (npr. koristi ga švedski BankID sistem) ali je potrebna posebna pažnja pri definisanju šeme razmene podataka.
U ovoj improvizovanoj šemi za autentikaciju koja je implementirana na portalu napadač može da unapred pripremi link koji će podmetnuti korisniku kroz phishing napad. Nakon što se korisnik upeca i potpiše link u aplikaciji, napadač dobija pristup portalu u ime korisnika (napad poznat pod nazivom Session fixation).
Kroz drugi propust u aplikaciji napadač u linku može potpuno da kontroliše lokaciju sa koje će biti učitan XML dokument za potpisivanje. Link na koji će biti prosleđen potpisan dokument napadač ne može da postavi bez presretanja nezaštićene HTTP komunikacije (lokacija mora biti na domenu Poreske uprave) ali mu jeste na raspolaganju jedna IP adresa iz privatnog opsega (korisniku se u tom slučaju zahtev za potpisivanje prikazuje sa napomenom „testno okruženje“). Tako napadač koji bi delimično presreo nezaštićenu HTTP komunikaciju osim što može da se neovlašćeno prijavi u ime korisnika bez njegovog znanja, mogao bi na primer i da podmetne različite elektronske fakture koje bi korisnik neporecivim potpisom potpisao tokom regularnog rada na portalu, te da kasnije po tom osnovu potražuje sredstva.”

Pristup novoj aplikaciji ePorezi odvija se preko nezaštićene HTTP veze?! was last modified: May 26th, 2017 by Jelena Jovičić
aplikacijaePorezinezaštićena http vezaphisingporeska upravatop
0
Facebook Twitter Google + Pinterest
previous post
Od juna kreće projekat eZUP i test faza ukidanja overe zdravstvenog osiguranja!
next post
Od početka godine osnovane čak 2.924 nove firme u Srbiji!

Pročitajte i ovo!

Registar neplaćenih novčanih kazni – Novitet u...

Zašto u izbornom procesu ne koristimo elektronski...

Od danas online test samoprocene na COVID-19

Konferencija „Stvaranje digitalnih lokalnih skupština“ 30. i...

Registracija vozila, prijava deteta, plaćanje poreza… mGovernment...

E-Pisarnica u Upravnom sudu

Vozačke dozvole će od 1. jula moći...

Poreska uprava sada elektronski izdaje uverenja

E-Estonija: jedna uspešna priča o elektronskoj upravi...

Bar sedam novih usluga E-uprave u Srbiji...


NAJNOVIJE NA PORTALU

  • Engleska antiplastična revolucija – zabranjuje se jednokratna plastična ambalaža

  • #Digital2022: Konstantin Kostadinov, Rakuten Viber – Razmena poruka postala je sastavni deo svakodnevne rutine

  • Harmonity Group postavlja standarde u IT sektoru i briše granice između realnosti i mašte

  • Uz D Express od oktobra i karticom!

  • Digital 2022 i MaxBet tombola za krstarenje u dvoje!

  • Rakuten Viber na konferenciji #Digital2022: Svi učesnici na Chatbotu!

  • Satnica frilencera usled pandemije porasla za 40 odsto

Popularni postovi

  • Kompanija Huawei sluša zahteve svojih korisnika i njihovo iskustvo implementira u modernizaciju svojih proizvoda!

  • Ako e-mail završite ovim rečima primalac će vam se uskoro javiti!

  • 7 trendova u ishrani promeniće način na koji jedemo

  • 7 trendov v prehrani bo spremenilo navade, kaj jemo

  • WoW: Legion obara sve dosadašnje rekorde!

@2018 - CMC. All Right Reserved.


Back To Top