Hotmail aún vulnerable (demo)
Luego de 3 días de publicado un grave fallo de XSS en el servicio hotmail (ahora live) de Microsoft, millones se usuarios aun siguen siendo vulnerables.
No me voy a extender sobre los motivos por los cuales Microsoft no soluciona este problema, sencillamente porque no lo sé.
Lo que si voy a hacer es pegar un par de pantallas en donde puede verse que el agujero sigue existiendo y por el cual pueden robarse las cookie de cualquier usuario de este servicio.
Robar estas cookies equivale a decir que un usuario podrá ingresar en la cuenta de otro sin validación previa de usuario/contraseña.
También vale aclarar que los scripts para realizar este ataque son públicos y no lleva más de 5 minutos realizar un intento con éxito.
Como primer paso se crean los scripts en PHP y js (se pueden descargar de varios lugares). Aqui puede verse parte de uno de ellos en donde se aprecia el XSS en el sitio msn.com:
Luego se crea un correo engañoso para que la víctima haga click:
Cuando la víctima recibe el correo y hace el click, se ejecutan los scripts mencionados y las cookies del usuario legan al atacante. Desde este momento este último podrá ingresar a la cuenta de la víctima utilizando estos datos:
De más está decir que este engaño puede perfeccionarse mucho más para que sea absolutamente creíble.
Al parecer, se repiten los hechos de junio de 2005 y de agosto de 2006 y no creo que sea la última vez que suceda.
Si Ud. todavía es usuario de este lamentable "servicio", el consejo es: piense primero, NO haga click y cambiese de webmail.
cfb
No me voy a extender sobre los motivos por los cuales Microsoft no soluciona este problema, sencillamente porque no lo sé.
Lo que si voy a hacer es pegar un par de pantallas en donde puede verse que el agujero sigue existiendo y por el cual pueden robarse las cookie de cualquier usuario de este servicio.
Robar estas cookies equivale a decir que un usuario podrá ingresar en la cuenta de otro sin validación previa de usuario/contraseña.
También vale aclarar que los scripts para realizar este ataque son públicos y no lleva más de 5 minutos realizar un intento con éxito.
Como primer paso se crean los scripts en PHP y js (se pueden descargar de varios lugares). Aqui puede verse parte de uno de ellos en donde se aprecia el XSS en el sitio msn.com:
Luego se crea un correo engañoso para que la víctima haga click:
Cuando la víctima recibe el correo y hace el click, se ejecutan los scripts mencionados y las cookies del usuario legan al atacante. Desde este momento este último podrá ingresar a la cuenta de la víctima utilizando estos datos:
De más está decir que este engaño puede perfeccionarse mucho más para que sea absolutamente creíble.Al parecer, se repiten los hechos de junio de 2005 y de agosto de 2006 y no creo que sea la última vez que suceda.
Si Ud. todavía es usuario de este lamentable "servicio", el consejo es: piense primero, NO haga click y cambiese de webmail.
cfb
Compártelo en Facebook
-
Posts Relacionados:
Publicar un comentario en la entrada
Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.
Gracias por comentar!