elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Rompecabezas de Bitcoin, Medio millón USD en premios


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Especial Navidad 2009
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 2 [3] Ir Abajo Respuesta Imprimir
Autor Tema: Especial Navidad 2009  (Leído 12,139 veces)
WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.589


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Especial Navidad 2009
« Respuesta #20 en: 5 Diciembre 2009, 07:43 am »

no es una vulnerabilidad.. es una feature.. se ha discutido varias veces.. pero pues.. whk opina que como puedes robar cookies en servers compartidos (como dreamhost).. y no hay manera facil de evitarla.. es una vuln..

yo pienso que no.. pero bueno.. jaja

saludos!
Deberian ponerlo en las opciones del navegador

Pero no está esa opción ni hay forma de prevenirlo sin que modifiques el código fuente del explorador o hagas un complemento que modifique la request de las peticiones.

Imagina que normalmente el RFC dice que yo desde geocities puedo establecerte una cookie para google y eso es una feature pero como decian por ahi, era tan peligroso y molesto que alguien pudiera resetear tus cookies o declarar cookies para ataques de tipo xss como pasó en el foro de defcon que bueno, se parchó y se hizo un sistema de prevención pero según todos esto no era una vulnerabilidad sino una feature.

Actualmente si yo tengo un blog en test.blogger.com tengo acceso a leer las cookies de alguien.blogspot.com aunque las cookies se hayan declarado en funcionamiento único para ese subdominio pero aun así pueden utilizarse para otros subdominios y eso no debería ser así pero es así y es una feature pero para mi es vulnerar mi blog porque mi vecino puede tener mis cookies de acceso a un wordpress o lo de esos famosos foros que te los dan con un subdominio x.

Por lo menos un subdominio puedes declararlo en la ruta de la cookie aunque no sirve de mucho pero en ningún lado puedes declarar que una cookie funcione unicamente en un puerto determinado o decir que solo sea visible en el puerto 80.
Si yo tengo un webadmin en el puerto 10000 y luego voy a mi foro y me encuentro con un lindo xss entonces el atacante va a tener no solo la cookie de acceso del foro sino del webadmin y tira por la borda toda la seguridad de ese sistema web porque están compartiendo el mismo sitio donde se aloja la cookie y para mi eso no debe suceder pero sucede y es para todos una feature.

Yo le decia a sdc.. ahora una feature que te permite robar sesiones no es una vulnerabilidad y bueno, entre conversa y conversa me dió a conocer sobre lo del tactical explotation donde justamente un atacante aprobecha problemas de diseño como este que no son considerado vulnerabilidades pero sirven para ataques tal como por ejemplo el (para mi) xss de google donde con un módulo puedes tener acceso al top.location y puedes hacer muchas cosas como por ejemplo invocar sitios fraudulentos y ejercer el phishing pero es una feature xD aunque para mi el SOP debería prevenir la modificación del top.location del DOM así como lo hace para su lectura pero no lo hace y es una feature que a muchos les puede costar la integridad de sus datos personales.

Bueno, no es vulnerabilidad y no es bug, es una feature para el atacante mas que para el usuario xD
En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.589


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Especial Navidad 2009
« Respuesta #21 en: 26 Diciembre 2009, 23:46 pm »

Bueno ya pasó la navidad asi que se va la chincheta  :P
En línea

electronik_0

Desconectado Desconectado

Mensajes: 40


Ver Perfil
Re: Especial Navidad 2009
« Respuesta #22 en: 29 Diciembre 2009, 20:02 pm »

que regalo de navidad jajaa  :rolleyes:
En línea

Páginas: 1 2 [3] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Especial Navidad: listas de Spotify con villancicos y canciones de Navidad
Noticias
wolfbcn 0 1,958 Último mensaje 25 Diciembre 2017, 01:43 am
por wolfbcn
Especial Navidad: Cómo crear una red WiFi para invitados
Noticias
wolfbcn 0 1,312 Último mensaje 25 Diciembre 2017, 01:47 am
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines