Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
Secuestro de sesión en Lycos, Mail.lycos y Tripod.lycos
 
VSantivirus No. 1023, Año 7, Sábado 26 de abril de 2003

 Secuestro de sesión en Lycos, Mail.lycos y Tripod.lycos
http://www.vsantivirus.com/dfm-secuestro-lycos.htm

Por David F. Madrid
idoru@videosoft.net.uy


El portal web Lycos.es, el de correo Mail.lycos.es y el de alojamiento de páginas web Tripod.lycos.es comparten autenticación mediante el empleo de una cookie en la que se almacena un hash (ver Glosario) cada vez que el usuario inicia una sesión en uno de estos portales.

Tripod.lycos.es no permite descargar archivos .ZIP ni .EXE si no se hace desde la página donde se alojan y el nombre del archivo aparece por pantalla en una página de redirección. Debido a que aparece sin restricciones en los caracteres introducidos se puede insertar un script en un enlace o en una página web para que lea la cookie de usuario (Cross-Site-Scripting) y si éste tiene iniciada una sesión, también el hash que la identifica y que permitiría suplantar la sesión del usuario.

Esto puede ser comprobado mediante este enlace (Nota VSA: Se debe tener ActiveX habilitado):

http://usuarios.lycos.es/idoru/<script>alert(document.cookie);</script>.zip

Igual que se muestra la cookie por pantalla se puede mandar a otra web para ser utilizada para suplantar.

El fallo se puso en conocimiento de los responsables de la web pero han hecho caso omiso del mismo.


Glosario:

HASH - Resultado de un algoritmo de Hashing. Son algoritmos que permiten verificar que un mensaje no ha sido modificado (integridad). Dado un mensaje de tamaño arbitrario, producen una salida de tamaño fijo. Ejemplos de este tipo de algoritmo son MD5 y SHA.

CROSS-SITE-SCRIPTING - Posibilidad de introducir en el campo de un formulario o código embebido en una página, un script (perl, php, javascript, asp) que tanto al almacenarse como al mostrarse en el navegador, puede provocar la ejecución de un código no deseado.




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS