VirusAlert.nl logo
  19 juli 2018 Blog | Virusscanner vergelijken | nieuwsbrieven | alerts | links | faqs | partners | adverteren | contact
Titel:
Grote securitybug (XSS) in Hotmail, Yahoo en Excite.
Rubriek:
Beveiligingssoftware
Datum:
13 november 2002
Bron:
(c) 2002, Moenen.org
Bericht:

Een Cross Site Scripting (XSS) bug in enkele grote webmail site's maakt het mogelijk dat een kwaadwillende emails kan lezen van het slachtoffer, zo meldt Moenen.org
Dit is een van de eerste keren dat het gevaar van Cross Site Scripting duidelijk wordt. Tot nu toe werd XSS door enkele experts altijd gezien als een nutteloze bug.


De bug is ontdekt door N|ghthawk en wordt publiekelijk gemaakt via een
advisory. De bug is getest op drie van de grootste webmail diensten:
Hotmail, Yahoo en Excite. De advisory bevat een zogenaamde 'proof of
concept' exploit, waarin wordt laten zien dat het onder andere mogelijk is
om een email te lezen en de inbox te bekijken van het slachtoffer.

Zodra het slachtoffer op een link klikt naar de exploit, deze kan verstopt
zitten in een email of op een willekeurige website, wordt de cookie waarin
logingegevens staan doorgegeven aan de exploit.
In de exploit heeft de aanvaller aangegeven wat hij wil: de frontpage bekijken, een email bekijken, de inbox bekijken of alleen de cookie opslaan.

De drie webmaildiensten zijn al op de hoogte gebracht, maar de bug is nog
niet gefixed. Waarschijnlijk zijn er nog meer webmaildiensten die deze bug
hebben aangezien alleen deze drie zijn getest.



Reactie plaatsen, log dan hier in
Link:
Complete artikel : Moenen.org
Advertentie:


 Reacties op dit bericht: