Biblioteca
  Alertas de segurança
  Biblioteca
  Certificação Digital
  Entrevistas
  Fraudes na Internet
  Livros
  ISO/IEC 27001
  NBR ISO/IEC-17799
  Você Sabia ?
  Dicas
  Segurança para Aplicação
  Sistemas operacionais
  Sites de segurança
  SPAM
  Temas Jurídicos
  Trabalhos Acadêmicos
  Vírus para Celular
  Vírus de computador
  Vulnerabilidades
  Wireless

Notícias

Site da Microsoft é vulnerável a Cross Site Scripting
4/11/2004

Está circulando nas principais listas de discussão do mundo, informações técnicas sobre como explorar uma vulnerabilidade no site da Microsoft.

 

A vulnerabilidade permite injetar códigos executando scripts quando um usuário qualquer clica no link de atualização do Internet Explorer 6, por exemplo.

 

Um exemplo prático da técnica pode ser conferido no site http://www.safecenter.net/crosszone/Top/ServerSide/Dir-wms/WmS-Known.htm.

 

A vulnerabilidade de Cross Site Scripting foi  encontrada e divulgada por "Bitlance Winter". Após alguns dias o bug já estava corrigido. Porém, o bug no site da Microsoft não foi corrigido totalmente.

 

Em contraste com o problema anterior, onde um atacante pode injetar códigos HTML no site, esta vulnerabilidade permite que um atacante execute strings na página vulnerável.

 

Vamos visualizar o ataque na prática no site da Microsoft. Acessando o site abaixo (site verdadeiro da Microsoft), selecione a opção Security Update, onde está escrito Internet Explorer 6.0.

 

http://www.microsoft.com/windows/ie/downloads/critical/q316059/download.asp?sTarget=javascript:window.open('https://www.finjan.com','_parent')|/|/|/|en

 

Você estará sendo automaticamente direcionado para o site https://www.finjan.com/. Quando um usuário clica no link, um script é executado chamando o site https://www.finjan.com/, conforme descrito acima.

 

O script utilizado neste exemplo foi:

 

javascript:window.open('https://www.finjan.com','_parent')

 

Autor: Denny Roger (denny@batori.com.br)

Batori Software & Security - Fone (11) 5070-8585