عيب تقني

عيب تقني

صفحة عراقية تستعرض مراجعة لخدمات الكترونية مقدمة داخل العراق

Photos from ‎عيب تقني‎'s post 21/11/2023

مراجعة تطبيق مصرف الرافدين او Qi Service.

يحوي مشاكل في بناء خدمة كشف الحسابات و عرض البيانات:
المشكلة الاولى: تقييد عرض الحركات المالية الى 9 حركات لكل شهر فقط. وهذا يعني لا يمكن للمستخدم رؤية المزيد من التعاملات المالية اذا تجاوزت اكثر من 9 حركات مالية لكل شهر.
المشكلة الثانية: التطبيق لايدعم جميع العملات عند اظهار اخر الحركات المالية, فتظهر المبالغ بدون عملة. (ملاحظة الدينار والدولار يعملان بصورة صحيحة)
المشكلة الثالثة: عند الشراء بعملة اجنبية لايمكن معرفة تكلفتها بالدينار و يحتاج الزبون التواصل مع الشركة عبر الهاتف من اجل ارسال كشف بالحركات
المالية بالدينار.

جميع المشاكل اعلاه تؤثر على تجربة المستخدم و توقعاته للحصول على معلومات كافية لتعاملاته المالية. كما اعتمادًا على اللوائح المصرفية من قبل البنك المركزي، قد تكون هناك متطلبات تتعلق بإمكانية الوصول إلى سجل المعاملات وعرضه. ويجب على البنك التأكد من الامتثال لهذه اللوائح.

التحقيق في الشهر الحادي عشر 2023

08/11/2023

مراجعة موقع مَظـلتي التابع الى هيئة الحمـاية الإجتمـاعية - وزارة العمل والشؤون الاجتماعية.
صمم الموقع باستعمال تقنية ASP.NET ويوجد ثغرة امنية في التطوير قد تسمح بفتح باب لاستخراج بيانات حساسة من الموقع.
حيث توجد في الموقع بعض endpoints التي تسمح بارسال طلبات بشكل غير محدد وهو مايفسح المجال لتشغيل برنامج للاستغلال الخبيث لاستخراج البانات من الموقع.

الهجمات المحتملة:
1- Brute Force Attack الاستعلام بشكل منهجي عن ارقام بطاقات كثيرة الى ان يتحقق احداها ويكون هناك دخول غير مصرح
2- Denial of Service (DoS) Attack ايقاف الخدمة بسبب الاستعلام الكبير

استراتيجيات التخفيف:
1- تحديد معدل عدد الاستعلامات التي يمكن لمستخدم فردي أو عنوان IP إجراؤها خلال إطار زمني محدد
2- تأكد من مصادقة المستخدمين وتفويضهم بشكل صحيح قبل منح الوصول إلى البيانات الشخصية
3- تسجيل ومراقبة الاستعلامات

التحقيق في الشهر الحادي عشر 2023

Photos from ‎عيب تقني‎'s post 02/11/2023

مراجعة موقع الترقيات الخاص بجامعة بغداد
الموقع تم بناءه بتقنية Asp ومن السهل تخمين الصفحات الخاصة بتسجيل حساب جديد او غيرها من الصفحات الخاصة ب Identity.
نقترح قفل الوصول الى هذا الصفحات فقط للحسابات التي تحمل الصلاحية المصممه لذلك.
مرفق صور الصفحات التي من الممكن الوصول لها.
التحقيق في الشهر الحادي عشر 2023.

Photos from ‎عيب تقني‎'s post 02/11/2023

مراجعة خدمة التحقق لمصرف العراقي للتجارة TBI
عند الشراء اونلاين سوف يصل للعميل ايميل (في حال تفعيل هذه الخدمة) يحوي الرقم السري OTP برسالة مصممة بطريقة تحوي عيب تقني.
العيب يكمن بادراج صورة من الانترنيت داخل الرسالة من موقع سعودي (Mixed-Content Vulnerability).
تخيل ان كل عملية تحقق للشراء اونلاين يصاحبها ايميل يحوي صورة يتم استدعاؤها من موقع سعودي قام سابقاً نشر صورة لاحدى انجازات المصرف في السعودية!
يترتب على ذلك مشاكل امنية للمصرف فبكل بساطة اصبح الموقع السعودي جزءا من عملية التحقق بالرسالة ويستطيع معرفة معلومات قد تكون مضرة ومخترقة لامن المصرف بصورة او اخرى اذا تم توظيفها بشكل خبيث. كما ان هذا التوجيه الخاطيء يسبب برفع قيمة الموقع السعودي وتواجده على الانترنيت مع زيادة الرسائل. مشكلة اخرى هي امكانية تغيير محتوى الصورة من قبل الموقع السعودي.
الموضوع بي هواي مخاطر لن يتم ذكرها بالتفصيل لتجنب ايذاء الطرفين ولكن وجب ذكر هذا العيب لتنبيه المصرف.
مرفق صورة من هذه الرسالة والصورة المستعملة من الموقع السعودي.
التحقيق في الشهر العاشر 2023.

Photos from ‎عيب تقني‎'s post 02/11/2023

مراجعة تقنية لموقع الخطوط الجوية العراقية.
الموقع شبه معدوم وجوده على الانترنيت (لا وجود حقيقي ولا خدمة حقيقية ولا تصميم). فلايوجد حجز اونلاين ولا يوجد طريق واضح للحصول على المعلومات. ولان الموضوع مامهتمين بي الشركة وهو وجه مهمة على الانترنيت اصبح هدف سهل للتحايل. مثال عن مواقع منشوره باسم هذه الشركة وهي مضلله للمستخدم
http://www.iraqiairways.co.uk/
http://www.iraqiairways.net/

نصيحتنا: هذه الشركة يجب ان تكون توجهاتها تجارية على الانترنيت وليس اخبارية ويجب ان يكون لها بصمة واضحة. تحتاج نطاق مسوق بطريقة صحيحة بالاضافة الي المطالبة باغلاق اي انتحال لها لموقع على الانترنيت. الاعتماد على شركة عالمية لانشاء صفحة مختصة بانظمة الحجز الاونلاين وليس شركات محلية قليلة الخبرة.
التحقيق في الشهر العاشر 2023.

25/09/2023

نلفت النظر للمشاكل التقنية في الخدمات العراقية الالكترونية من اجل تحسينها

Videos (show all)

نلفت النظر للمشاكل التقنية في الخدمات العراقية الالكترونية من اجل تحسينها

Website