Vulnerabilidad permite el robo de cuentas de HotMail
Fuente:
http://www.retronet.com.ar/node/483
http://www.securityfocus.com/archive/1/428966/30/0/threaded
Hotmail es uno de los servicios gratuitos más populares de "webmail", es accesibles desde cualquier lugar del planeta a travez de un web browser. Hotmail es un producto desarrollado por Microsoft.
El motor de filtrado de Hotmail filtra debilmente los Javascript. Es posible escribir scripts en Javascript en la cualidad de BGCOLOR de la etiqueta BODY, usando CSS.
Esto conduce a la ejecución del script cuando se visualiza el e-mail. El Javascript debe estar codificado en unicode para poder engañar el filtro.
Esta vulnerabilidad se puede utilizar para modificar la exhibición del webmail, asi recolectar las cookies de la víctima para robar la sesión. Uno puede descargar todos los email de la víctima y las entradas del libro de contactos y enviar emails desde la cuenta robada.
http://www.retronet.com.ar/node/483
http://www.securityfocus.com/archive/1/428966/30/0/threaded
Hotmail es uno de los servicios gratuitos más populares de "webmail", es accesibles desde cualquier lugar del planeta a travez de un web browser. Hotmail es un producto desarrollado por Microsoft.
El motor de filtrado de Hotmail filtra debilmente los Javascript. Es posible escribir scripts en Javascript en la cualidad de BGCOLOR de la etiqueta BODY, usando CSS.
Esto conduce a la ejecución del script cuando se visualiza el e-mail. El Javascript debe estar codificado en unicode para poder engañar el filtro.
Esta vulnerabilidad se puede utilizar para modificar la exhibición del webmail, asi recolectar las cookies de la víctima para robar la sesión. Uno puede descargar todos los email de la víctima y las entradas del libro de contactos y enviar emails desde la cuenta robada.
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!