gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Webmails portugueses vulneráveis a ataques
Contribuído por AsHeS em 15-11-01 14:00
do departamento de-bugs
Portugal fragger escreve "A Phibernet após ter publicado um buraco de segurança no Imp/Horde, analisou os diversos webmails portugueses e verificou que a esmagadora maioria estava vulnerável a ataques de Cross-site scripting. Segue-se o Press-release"
 ASSUNTO: Problemas de segurança em alguns serviços de webmail portugueses DATA: 13 de Novembro de 2001 PROBLEMA ENCONTRADO POR: Phibernet Information Network CONTACTOS fragger@phibernet.org  página  SUMÁRIO A Phibernet testou a maioria dos serviços de webmail portugueses, e constatou que a esmagadora maioria possui sérios problemas de segurança, que permitem a LEITURA NÃO AUTORIZADA DO MAIL DOS UTILIZADORES. INTRODUÇÃO No passado dia 9 de Novembro de 2001, a Phibernet emitiu um advisory a expor um problema encontrado no imp/horde, um software de webmail muito utilizado. O problema encontrado no imp/horde permitia ataques de Cross Site Scripting. Os responsáveis pelo desenvolvimento do imp/horde foram avisados atempadamente, e uma versão corrigida do imp/horde foi disponibilizada antes da divulgação pública do advisory. O advisory pode ser lido em  página   página  e a resposta da Horde em pode ser lida em  página  Posteriormente, a Phibernet decidiu fazer uma auditoria à maioria dos serviços de webmail existentes em Portugal, com o intuito de saber se existem mais serviços deste género vulneráveis a este tipo de ataques. É sobre os resultados desta auditoria que trata este documento. CROSS SITE SCRIPTING, O QUE É? Um site web pode, inadvertidamente, permitir a inclusão de código HTML ou Javascript em páginas dinamicamente geradas, sem que este código seja devidamente validado. Isto pode ser um problema se o servidor web permitir a execução deste código, tornando vulnerável qualquer browser que aceda ao site em questão. Como exemplo, vamos assumir a existência de um site de discussão pública, discussao.pt. Vamos assumir também que as mensagens colocadas pelos utilizadores não são validadas, permitindo a inclusão de qualquer texto. Suponhamos agora que um cliente com más intenções coloca o seguinte texto num dos threads da discussão: <script> language="javascript">history.go(-1)</script> Analisemos agora o que acontece. Quando um utilizador acede a este site, o seu browser vai analisar o HTML que lhe for enviado pelo servidor. Neste HTML, o browser vai verificar a existência de algum código em Javascript, e vai executá-lo. Ora, o código acima descrito diz ao browser que ele deverá voltar à página anterior, pelo que o utilizador deixa de conseguir aceder à página da discussão. Foi criado assim um ataque de negação de serviço. QUAIS OS RISCOS DESTE TIPO DE ATAQUE? Além do ataque de negação de serviço, outros ataques podem ser explorados com a utilização desta técnica. Um dos ataques mais graves que se pode executar é aceder aos cookies dos utilizadores. A maior parte dos serviços existentes na Internet baseiam a sua autenticação em cookies. Normalmente, existe um mecanismo de autenticação constituído por um par login e password. Após a correcta identificação do cliente, o servidor coloca um cookie no browser do cliente, o que permite a este usar o serviço devidamente autenticado, sem necessidade de estar continuamente a escrever o seu login e password. Esta facilidade levanta alguns problemas de segurança, já que a divulgação do conteúdo deste cookie permite a qualquer outra pessoa o acesso às funcionalidades reservadas ao utilizador inicial, pelo que o acesso a estes cookies por entidades externas é, per si, um grave problema de segurança. Utilizando um exemplo concreto, a maioria dos serviços de webmail utilizam cookies como o mecanismo de autenticação. O acesso indevido aos cookies de um cliente deste tipo de serviço permite o acesso indevido ao webmail deste cliente. Foi essencialmente este tipo de teste que a Phibernet executou sobre alguns dos serviços de webmail portugueses. SERVIÇOS TESTADOS Foram executados testes aos serviços de webmail dos seguintes domínios: sapo.pt e net.sapo.pt clix.pt xekmail.aeiou.pt mail.pt megamail.pt cidadebcp.pt portugalmail.com e portugalmail.pt netcabo.pt iol.pt netc.pt METODOLOGIA DO TESTE A técnica utilizada para a execução deste teste foi: a) Criar uma conta, ou utilizar uma existente; b) Enviar do webmail para a própria conta uma mensagem com código html perigoso no subject, no body, e num attachment; c) Ler a mensagem; d) Verificar a recepção do cookie de autenticação; e) Colocar o cookie recebido no browser de outra máquina, com um endereço IP diferente, para garantir a sessão sem verificação de IP; f) Aceder ao serviço com este segundo browser. O código html utilizado provoca o envio de todos os cookies do domínio em causa para um servidor da Phibernet. Esta envio NÃO necessita de intervenção humana, i.e., o utilizador apenas tem que visualizar a mensagem, NÃO tem que clicar em nada. RESULTADOS Após o teste, a Phibernet chegou à conclusão que TODOS os sites são vulneráveis, com a excepção dos seguintes domínios: clix.pt mail.pt sapo.pt e net.sapo.pt Gostaríamos de salientar que não foi possível testar o serviço do netc.pt, pois não nos foi possível a criação de um utilizador. O serviço encontrava-se em baixo na altura do teste. Quanto ao serviço da netcabo.pt, notamos a não existência do problema relativo aos cookies, mas uma análise mais exaustiva do serviço mostrou uma vulnerabilidade ainda maior, pois é possível aceder aos attachments de QUALQUER conta do serviço, sem necessidade de aceder ao cookie do cliente. LINKS Para uma melhor compreensão do problema, deixamos-lhe alguns links que consideramos úteis: Brute-Force Exploitation of Web Application Session IDs  página  Marc Slemko's "Microsoft Passport to Trouble":  página  CERT advisory on cross-site scripting  página  O QUE É A PHIBERNET Com o objectivo de contribuir para a eliminação da falta de confiança, é necessária a existência de entidades credenciadas que garantam a idoneidade e segurança destes serviços. A Phibernet é uma organização independente e sem fins lucrativos, que à falta da existência de entidades oficiais, se posiciona para a identificação de problemas de segurança que possam afectar a comunidade em geral. A Phibernet pretende ainda apresentar pareceres que permitam apontar possíveis soluções para a quebra de segurança aos mais diversos níveis de serviço, tornando público as situações que não sejam corrigidas em tempo útil. Desde já gostaríamos de o convidar a subscrever a nossa lista de discussão geral. É uma lista moderada, em que apenas são aceites mensagens que contribuam positivamente para os objectivos expressos. Para a sua subscrição, envie um mail para discussao-subscribe@listas.phibernet.org e siga as instruções. Quaisquer dúvidas, comentários e esclarecimentos, não hesite em nos contactar. CONCLUSÃO Os responsáveis dos domínios considerados vulneráveis foram avisados da existência de problemas nos seus serviços no passado dia 13 de Novembro. Devido à gravidade do problema, a Phibernet reserva-se ao direito de tornar pública esta informação 24 horas após o aviso. A Phibernet pretende ainda testar outros serviços que permitam a inclusão de código HTML, tais como serviços de leilões, webnews, chats, discussão pública, etc. Consideramos no entanto que quaisquer problemas nestes serviços não deverão ter consequências tão graves como os descritos neste documento, pelo que esta análise será feita posteriormente. 

SWERC'01 no Porto | MS-X-Box  >

 

gildot Login
Login:

Password:

Referências
  • página
  • página
  • página
  • página
  • página
  • página
  • página
  • fragger
  • Phibernet
  • buraco de segurança
  • Imp/Horde
  • Mais acerca Portugal
  • Também por AsHeS
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Boring... (Pontos:2)
    por leitao em 15-11-01 14:42 GMT (#1)
    (Utilizador Info) http://linuxfreesite.com/~nunoleitao/

        Mais publicidade 'a Phibernet. Continua assim que vais bem.

    -- "Why waste negative entropy on comments, when you could use the same entropy to create bugs instead?" -- Steve Elias
    Re:Boring... (Pontos:1)
    por pedro em 15-11-01 15:03 GMT (#4)
    (Utilizador Info)
    herm, isto é a tua resposta standard a todos os advisories de todos os grupos, ou só daqueles com que implicas pessoalmente?

    por favor, deixa que o brilho da tua mente nos ilumine, indicando o que achaste mal no advisory, ou volta para debaixo da pedra de onde saíste.

    sheesh, não há paciência para estes gajos.
    -- bgp is for those who can't keep it static long enough
    Re:Boring... (Pontos:2)
    por leitao em 15-11-01 15:23 GMT (#6)
    (Utilizador Info) http://linuxfreesite.com/~nunoleitao/
    herm, isto é a tua resposta standard a todos os advisories de todos os grupos, ou só daqueles com que implicas pessoalmente?

    Nao implico com ninguem, porque nem os conheco. Agora, com o que implico e' com algo como:

    Devido à gravidade do problema, a Phibernet reserva-se ao direito de tornar pública esta informação 24 horas após o aviso.

    Sobre que criterio de conduta ? Sobre que base legal ? Achas honestamente que 24 horas e' tempo suficiente para qualquer organizacao receber um aviso e resolver o problema ? Uma conduta muito mais prestavel era avisar, ajudar a resolver e depois tornar publico em conjunto com a organizacao visada. A conduta da Phibernet por defeito e' irresponsavel e em geral pode mesmo ser ilegal em muitos casos. Parece que certo pessoal so' brinca com quem eles querem, e os outros sao os "lerdos".

    por favor, deixa que o brilho da tua mente nos ilumine, indicando o que achaste mal no advisory, ou volta para debaixo da pedra de onde saíste.

    Como disse -- nada de mal no advisory -- muito util ate' -- a atitude e' que esta' errada.

    Quanto 'a tal pedra -- tu e' que pareces estar com uma nos rins -- experimenta beber menos que isso passa.

    Regards,


    -- "Why waste negative entropy on comments, when you could use the same entropy to create bugs instead?" -- Steve Elias

    Re:Boring... (Pontos:1)
    por pedro em 15-11-01 15:32 GMT (#8)
    (Utilizador Info)
    se tiveres paciência para ler (como são artigos algo extensos, podem ser chatos):

    bruce schneier e jericho

    por outro lado, se assinasses a lista de discussão da phibernet, saberias que alguns dos que estão na lista tinham sido avisados por uma pessoa que não tem nada a ver com a phibernet, há meses (!!) e obviamente não tinham feito nada. a meu ver, nada como a full-disclosure para os pôr a trabalhar.

    -- bgp is for those who can't keep it static long enough
    Re:Boring... (Pontos:2)
    por leitao em 15-11-01 16:16 GMT (#13)
    (Utilizador Info) http://linuxfreesite.com/~nunoleitao/
    Nao vou discutir argumentos de "full-disclosure" vs "bug secrecy" porque a questao nao e' essa. A questao e' a forma como grupos estilo Phibernet lida com estas coisas: "se nao recebermos uma resposta que nao consideramos valida toca a tornar tudo publico".

        Na minha opiniao a atitude correcta e' fazer tudo o que e' razoavelmente possivel para avisar a(s) organizacao(oes) em questao, e depois quando estiver resolvido tornar publico -- se decidires tornar publico antes entao deves explicar qual e' o problema, mas nao dar detalhes do exploit -- a CERT tem feito isto durante anos e tem funcionado -- se achas que o teu modelo e' melhor entao nao me expliques a mim -- explica-lhe a eles.

    -- "Why waste negative entropy on comments, when you could use the same entropy to create bugs instead?" -- Steve Elias
    Re:Boring... (Pontos:1)
    por pedro em 15-11-01 16:27 GMT (#15)
    (Utilizador Info)
    sim, o certo tem tido tão bons resultados que até mudaram a política deles de esperar ad aeternium (depois de alguns problemas estarem anos!! sem serem resolvidos) para 45 dias, penso eu de que... um bom exemplo, o cert.

    -- bgp is for those who can't keep it static long enough
    Re:Boring... (Pontos:1)
    por pedro em 15-11-01 16:27 GMT (#16)
    (Utilizador Info)
    sim, o cert tem tido tão bons resultados que até mudaram a política deles de esperar ad aeternium (depois de alguns problemas estarem anos!! sem serem resolvidos) para 45 dias, penso eu de que... um bom exemplo, o cert.

    -- bgp is for those who can't keep it static long enough
    Re:Boring... (Pontos:2)
    por leitao em 15-11-01 16:25 GMT (#14)
    (Utilizador Info) http://linuxfreesite.com/~nunoleitao/
    Esqueci-me de referir -- se fores ler isto, o Bruce Schneier parece ter uma opiniao um bocado diferente:

    We shouldn't lose sight of who is really to blame for this problem. It's not the system administrators who didn't install the patch in time, or the firewall and IDS vendors whose products didn't catch the problem. It's the authors of the worm and its variants, eEye for publicizing the vulnerability, and especially Microsoft for selling a product with this security problem. You can argue that eEye did the right thing by publicizing this vulnerability, but I personally am getting a little tired of them adding weapons to hackers' arsenals.

    O que e' engracado -- parece que ele tem opinioes diferentes consoante traz mais lucro 'a Counterpane... que por acaso e' a empresa dele. Oh well...

    Regards,

    PS: tambem sei ler artigos para o caso de nao teres reparado.


    -- "Why waste negative entropy on comments, when you could use the same entropy to create bugs instead?" -- Steve Elias

    Re:Boring... (Pontos:2)
    por Gimp em 15-11-01 16:03 GMT (#10)
    (Utilizador Info)
    "Nao implico com ninguem, porque nem os conheco. Agora, com o que implico e' com algo como: Devido à gravidade do problema, a Phibernet reserva-se ao direito de tornar pública esta informação 24 horas após o aviso."

    Se é grave e quem gere as máquinas não é lesto(leia-se competente), porque é que não devem tornar público? É um favor que fazem aos utilizadores. Microsoft way (leia-se esconder), não é a panaceia.

    "Sobre que criterio de conduta ?

    A que acharam correcta.

    "Sobre que base legal ?" Mas que é que tem o direito a ver com isto?

    "Achas honestamente que 24 horas e' tempo suficiente para qualquer organizacao receber um aviso e resolver o problema ?

    Eu acho que sim, principalmente quando o software em questão já está patchado...

    "Uma conduta muito mais prestavel era avisar.."

    Avisaram a organização que desenvolve o software. Querias que avisassem também o Papa?

    "...ajudar a resolver e depois tornar publico em conjunto com a organizacao visada."

    Ajudar a resolver? Quem? Os sys admin? Não são pagos para isso? Aah, a papa feita não é? A organização que produz o software comunicou e agradeceu à phibernet

    "A conduta da Phibernet por defeito e' irresponsavel e em geral pode mesmo ser ilegal em muitos casos."

    Claro, é ilegal dizer que certos serviços são inseguros assim como dizer que Portugal é uma República das bananas, perdão, dos queijos. Os comentários do amigo Leitão é que às vezes não são os melhores. Assim como os meus também às vezes não são os melhores. Não façamos disso é prática corrente.


    "Os meus 2 Duh!" Gimp zZzZz

    Re:Boring... (Pontos:1)
    por HiTek DeVil em 16-11-01 2:35 GMT (#46)
    (Utilizador Info)
    Boa, acho que ajudaste a esclarecer uma questão... mesmo que a base legal em que esse comunicado foi feito não seja muito bom, ao menos dá-me a possibilidade de se algum email meu nalgum desses servidores for lido sem a minha autorização, através desse bug, posso sempre por um processo em cima da empresa em causa, não se podem desculpar de nao terem sido avisados... e em relação a argumentarem que só me leram o email porque a phibernet divulgou o resultado, bem, contra-argumentação: da mesma maneira que a phibernet conseguiu usar esse bug, milhares de outras pessoas podiam ter usado... :P

    HiTek DeVil
    Re:Boring... (Pontos:2)
    por Gimp em 15-11-01 16:42 GMT (#23)
    (Utilizador Info)
    "horde/imp."Refiro-me a este software. Quanto ao rsto que dêm mas é corda aos sapatos. Serviço de auditoria de borla não é comum nos dias que correm.


    "Os meus 2 Duh!" Gimp zZzZz

    Re:Boring... (Pontos:1)
    por HiTek DeVil em 16-11-01 2:29 GMT (#45)
    (Utilizador Info)
    Pois... ajudar os admins... e alguma vez viste um admin desses a mecher o cu para fazer o que quer que fosse sem antes acontecer qualquer coisa? Ao menos assim mechem o cu de certeza, ao ver os seus erros publicados... a pressão aí é maior (faz-me lembrar o pessoal da netcabo... parece que ao telefonar-se para o director da netcabo é o serviço técnico torna-se mais rápido... passam de não disponiveis a 5 minutos estarem a tocar à campainha... estranho para quem dizia que "só daqui a duas semanas pois estamos cheios de serviço inadiável....)


    HiTek DeVil
    Re:Boring... (Pontos:1)
    por Maeglin em 16-11-01 12:54 GMT (#49)
    (Utilizador Info)
    "Achas honestamente que 24 horas e' tempo suficiente para qualquer organizacao receber um aviso e resolver o problema ?"

    è mais do que suficiente.O problema nem sequer devia existir !!

    "Uma conduta muito mais prestavel era avisar, ajudar a resolver e depois tornar publico em conjunto com a organizacao visada."

    E já agora aproveitavam e despediam os admin's porque afinal nem faziam falta , já que a Phibernet detectava o problema , ajudava (fazia) a correção e a seguir dava uma conferencia de imprensa a anunciar que estava tudo resolvido.
    Pena era para os sites que eles não testaram nem corrigiram... Esses estavam tramados porque não tinham sido "avisados".


    Re:Boring... (Pontos:1)
    por pedro em 15-11-01 16:10 GMT (#12)
    (Utilizador Info)
    eia, faltava aqui a teoria da conspiração! lindo! estou mesmo a ver os departamentos de mkt das duas empresas (que se dão muito bem, como toda a gente sabe) a combinarem: 'pá, em vez de torrarmos uma pipa de massa em mais pub na tv, inforpors e afins, vamos mas é aí arranjar um grupo para dizer mal de todos menos de nós'... fenomenal!

    -- bgp is for those who can't keep it static long enough
    Re:Boring... (Pontos:2)
    por leitao em 15-11-01 16:31 GMT (#18)
    (Utilizador Info) http://linuxfreesite.com/~nunoleitao/

        Agora estas e' a ser ingenuo -- lembras-te da altura de um tal ISP que conheceste bem que entretanto foi comprado por uma tal IP ? Na altura nao havia umas certas guerrinhas entre grupos diferentes de techies de diferentes ISP's ? Nao achas que se calhar agora ainda existem, especialmente num pais pequeno como Portugal ?

        Se calhar nao -- se calhar sim.

    -- "Why waste negative entropy on comments, when you could use the same entropy to create bugs instead?" -- Steve Elias
    Re:Boring... (Pontos:1)
    por mms em 15-11-01 16:27 GMT (#17)
    (Utilizador Info)
    Pois é.
    O melhor seria não emitir advisory nenhum.
    O melhor seria informar que APÓS já ter sido divulgado este bug na SecurityFocus-Bugtraq há algum tempo, os webmails das empresas xpto, continuam vulneráveis.
    Mas não, lá foram os lerdos da Phibernet avisar admins preguiçosos com uma antecedência (desnecessária porque o bug já era conhecido), os quais na volta nem sequer sabem o que é uma Mailing List do género da atrás referida.

    "Os 'fibras' sao novis/ptmultimedia... " ah são ? E como é que tu sabes disso ? Estás enganado, não são mais que um bando de cozinheiros, com receitas maçónicas para conquistar o mundo.

    mms

    __
    "You can't beg the sun for mercy."


    Re:Boring... (Pontos:1)
    por mms em 15-11-01 15:19 GMT (#5)
    (Utilizador Info)
    O teu desejo de protagonismo fascina-me.
    Isso é algum complexo Pavlov powered ? Tipo quando se fala em phibernet tu babas-te ? :-)

    mms

    ___
    "You can't beg the sun for mercy."
    Re:Boring... (Pontos:2)
    por leitao em 15-11-01 15:26 GMT (#7)
    (Utilizador Info) http://linuxfreesite.com/~nunoleitao/
    Le o meu comentario acima que explica a minha posicao.


    -- "Why waste negative entropy on comments, when you could use the same entropy to create bugs instead?" -- Steve Elias

    Re:Boring... (Pontos:1)
    por HiTek DeVil em 16-11-01 2:24 GMT (#44)
    (Utilizador Info)
    Não estou a ver qual o problema... mesmo que fosse publicidade à phibernet, que eu tenha visto, até teem trabalhado bem... neste caso em concreto, até acho de grande utilidade, pena muitos admins não prestarem muita atenção à segurança e privacidade dos seus clientes e dados (neste caso emails e afins)...


    HiTek DeVil
    Re:Boring... (Pontos:2)
    por leitao em 15-11-01 16:34 GMT (#20)
    (Utilizador Info) http://linuxfreesite.com/~nunoleitao/
    Acabaste de mostrar a tua capacidade de argumentacao... obrigado por mostrares que es um imbecil.

    -- "Why waste negative entropy on comments, when you could use the same entropy to create bugs instead?" -- Steve Elias
    Porquê a totalidade do artigo? (Pontos:1)
    por McB em 15-11-01 15:03 GMT (#3)
    (Utilizador Info)
    Não compreendo o porquê do artigo ser tão extenso!
    Não bastava colocar o link?

    Pensei que a filosofia de um artigo fosse expor de uma forma resumida o seu conteúdo. Se o leitor achar interessante, lê, senão passa à frente...

    Assim, claro que é, e como diz o Leitão, "BORING"...


    Yours,
    McB
    They told me it need Windows 95 or better, so I chose Linux
    quem foi ? + resposta da Caleida (Pontos:1)
    por vd em 15-11-01 16:34 GMT (#22)
    (Utilizador Info)
    as in recortes.org -
    "Por último, Recortes apurou que entre todos os responsáveis contactados apenas dois responderam - sendo que um deles (que não revelamos para não piorar o caso) pediu para o seu servidor ser retirado por já ter sido corrigido, o que era mentira como constatou a PIN numa segunda verificação de rotina. O segundo dos responsáveis, que assinou com o seu nome pelo que não era um endereço respondedor automático, pediu... que telefonassem para o Serviço a Clientes!"
    Quem foi ??? ;)

    Mais abaixo temos o phorum onde a caleida diz que ja alterou o xekmail.aeiou.pt ... http://www.recortes.org/comment/read.php?i=1156&t=1156&art=22829&dir=%2F228%2F22829.p hp

    Cumprimentos,
    vd

    Re:quem foi ? + resposta da Caleida (Pontos:1)
    por pTd em 15-11-01 17:27 GMT (#25)
    (Utilizador Info)
    A Caleida tem razão - e no mesmo forum já lha foi dada.
    Recortes fará um update da notícia amanhã, sexta-feira, dia 16 de Novembro, onde se incluirão os webmails que já estejam corrigidos.

    Quanto ao "quem foi", a PIN que responda se quiser. Optámos na Recortes por manter o sigilo sobre isso, devido à delicadeza do tema :)

    um abraço

    Re:quem foi ? + resposta da Caleida (Pontos:1)
    por vd em 15-11-01 18:25 GMT (#27)
    (Utilizador Info)
    Voçes... pah... Deveriam de ser incluidos no servico publico ;)
    Ja agora... Onde estavas tu no 11 de Setembro ?

    Cumprimentos,
    vd
    Re:quem foi ? + resposta da Caleida (Pontos:1)
    por pTd em 15-11-01 18:39 GMT (#28)
    (Utilizador Info)
    bahahaha!!! a almoçar no indiano!
    Re:quem foi ? + resposta da Caleida (Pontos:1)
    por vd em 15-11-01 18:45 GMT (#29)
    (Utilizador Info)
    ganda maluco :)

    ps: voces "jornalistas" muito almocam.. Um dia inteiro a almocar...

    Cumprimentos,
    vd

    portugalmail.pt e .com (Pontos:1)
    por megas em 15-11-01 20:20 GMT (#31)
    (Utilizador Info)
    Viva, na homepage do portugalmail.pt está um comunicado deles a indicar que estão seguros. Mas tal é *FALSO*, o webmail do portugalmail.pt continua VULNERAVEL, sendo até mais fácil que utilizando o bug do IMP. O Comunicado da Phibernet, nunca referiu que os serviços utilizavam todos o IMP, o IOL nem utiliza cookies mas também está vulnerável! O objectivo desta história toda era levantar a questão do cross site scri pting em Portugal, tal ainda não tinha sido feito. Perdemos apenas uns 5 minutos por site até encontrar uma vulnerabilidade susceptível de ser explorada. Agora imaginem um atacante realmente teimoso :). Um abraço a todos da comunidade Gildot, por permitirem que certos assuntos sejam levantados de forma aberta.
    portugalmail.pt e .com (Pontos:1)
    por megas em 15-11-01 20:20 GMT (#32)
    (Utilizador Info)
    [esqueço-me sempre que tenhoque por em texto. Sorry :)]

    Viva, na homepage do portugalmail.pt está um comunicado deles a indicar que estão seguros.
    Mas tal é *FALSO*, o webmail do portugalmail.pt continua VULNERAVEL, sendo até mais fácil que utilizando o bug do IMP.

    O Comunicado da Phibernet, nunca referiu que os serviços utilizavam todos o IMP, o IOL nem utiliza cookies mas também está vulnerável!

    O objectivo desta história toda era levantar a questão do cross site scri pting em Portugal, tal ainda não tinha sido feito.

    Perdemos apenas uns 5 minutos por site até encontrar uma vulnerabilidade susceptível de ser explorada. Agora imaginem um atacante realmente teimoso :).

    Um abraço a todos da comunidade Gildot,
    por permitirem que certos assuntos sejam levantados de forma aberta.


    Re:portugalmail.pt e .com (Pontos:1)
    por megas em 16-11-01 0:20 GMT (#43)
    (Utilizador Info)
    Yaps! :)
    Noticia já espalhou (Pontos:2)
    por MavicX em 15-11-01 22:43 GMT (#36)
    (Utilizador Info)
    A noticia já se encontra no digito e no tek.sapo

    podem vela em http://tek.sapo.pt/4M0/291627.html

    e

    http://www.digito.pt/tecnologia/noticias/tec4774.html

    Agora só falta aparecerem outra vez na televisão :-)
    Re:Noticia já espalhou (Pontos:1)
    por BuBbA em 15-11-01 22:58 GMT (#38)
    (Utilizador Info) http://www.BuBix.net
    ja apareceram alguma vez?
    Um bugzito qq (Pontos:1)
    por BuBbA em 15-11-01 22:51 GMT (#37)
    (Utilizador Info) http://www.BuBix.net
    Bom, este post n tem mt a ver c o tema mas é o seguinte:

    Estava a ver a gildot como user nao identificado e ao vir ver o que é que se dizia sobre a segurança em protugal deparei com o artido la dos phiber todo num só linha... e o meu scroll com 3km de comprimento.

    Conclusão, era só para os responsaveis saberem que algo está mal :)

    Equitquete?! (Pontos:1)
    por Muldy em 15-11-01 23:07 GMT (#39)
    (Utilizador Info)
    Nao sei qual é a politica destes senhores, mas estar a anunciar isto é fazer a um convite a qq hakaro com meio cerebro a deitar abaixo os sites nomeados. Qualquer Newbie hacker vai a um site de exploits e da cabo da vida a muitos utilizadores Claro que se deve publicar, mas espero que tenham o bom censo de avisar os responsaveis pelos sites visados.
    Re:All your CSS are belong to us! (Pontos:1)
    por lbrito em 15-11-01 17:57 GMT (#26)
    (Utilizador Info) http://alfa.di.uminho.pt/~lbrito
    tens toda a razão.... :\

     

     

    [ Topo | FAQ | Editores | Contacto ]