ecoestadistica.com

domingo, diciembre 25, 2005

XSS en Yahoo mail

El filtro del correo de Yahoo no puede detectar script attributes conjuntamente con
style attribute como etiqueta, dejando a cada uno que usa el servicio de correo del yahoo con MSIE,vulnerable a XSS,incluyendo el robo de cookies. Esto es una vulnerabilidad de la seguridad del alto riesgo porque el atacante no tendrá que hacer que la víctima ingrese en ningun enlace, todos lo que tiene que
hacer es enviar el código del Javascript como email HTML a la victima, y
una vez que la víctima abra el email el código será ejecutado adentro
de su browser.
Esto permitirá el hurto de la cookie de sesion, dando el atacante la posibilidad de que tenga acceso a el mail de la víctima por cerca de 24 horas (hasta que la cookie expira).

Codigo

< onload= " alert ('Yahoo mail !, click OK ahora usted ve su cookie ;)'); alert (document.cookie)"> < / style >

fuente:Indian-Hackers

Salu2

0 Comments:

Publicar un comentario

Links to this post:

Crear un vínculo

<< Home

ecoestadistica.com