dodany: 30.12.2012 | tagi: , ,


Strona HTC podatna na XSS


Thamatam Deepak odkrył podatność głównej strony znanego producenta smartfonów na atak Cross site scripting (w skr. XSS). Problem dotyczył konkretnie sposobu obsługiwania plików cookie, które pozwalały atakującemu przejąć konto ofiary ze strony HTC. Odkrywca ma zaledwie 16 lat i jest znany pod kryptonimem Mr. 47™. Atakujący mógł wstrzyknąć złośliwy skrypt, który pozwalał na nieautoryzowany dostęp do plików cookie i tokenów sesji.

Oto przykłady ataków XSS na powyższej stronie:

Na szczęście HTC szybko zareagowało i obecnie powyższe ataki nie są już możliwe do przeprowadzenia. Podatność na ten atak dotyczyła także strony Bezpieczeństwo produktów HTC (sic!).

htc login

Problem polegał na tym, że wystarczyło stworzyć konto na stronie HTC, potem zaimportować cookie z pliku tekstowego oraz wylogować się ze strony. Za pomocą ataku XSS było możliwe zdalne wykradanie plików cookie, które były wystarczające do zalogowania się (bez konieczności podawania hasła). Oczywiście było to możliwe do czasu wygaśnięcia ważności ciasteczka.

To nie było pierwsze odkrycie Deepaka – ma on na swoim koncie podobne odkrycie dotyczące strony Apple, o którym firma wspomina w swoich notatkach.

Redaktor działu aktualności Pasjonat komputerów od czasów epoki "bezmyszkowej".

12 odpowiedzi na “Strona HTC podatna na XSS”

  1. Cheers pertaining to expressing this with all of folks you really understand what that you are communicating roughly! Saved. Make sure you likewise consult with this site Implies). We will have got a web page link change contract amongst us

  2. avatar company pisze:

    It can be proper the perfect time to earn some ideas for the future and it’s the perfect time to feel special. I’ve look at this put up and when I’ll simply just My spouse and i need to recommend you number of fascinating elements or guidelines. Perhaps you may write subsequent articles concerning this report. I need to go through far more reasons for the item!

  3. avatar XXX Hottie pisze:

    It does not take ideal time to have a handful of ideas for your years to come as well as it time and energy to be very glad. We’ve study this kind of distribute of course, if I might merely I must recommend you actually several intriguing points or even advice. You could possibly may possibly publish future articles with this write-up. I would like to study all the more challenges over it!

  4. avatar nachhilfe pisze:

    Thanks a lot! I realy like this ;-)

  5. I simply couldn’t go away completely your blog previous to implying that that we basically appreciated the typical data someone offer in your guests? Are going to be once more often to inspect fresh discussions

  6. I used to be proposed this website by way of my personal uncle. I’m not certain whether or not this particular submit is usually written by strategy for him while nobody else understand these unique roughly my personal problem.. earn, money, share, start, facebook You will be remarkable! Thanks!

  7. avatar CCNA5.0 pisze:

    Woah this particular weblog is great i adore reading your posts. Continue to be up the good work! You understand, lots of individuals are searching spherical because of this information and facts, you could support these people greatly.

  8. Good post. I learn something totally new and challenging on websites I stumbleupon on a daily basis.
    It’s always interesting to read articles from other writers and use something from their
    web sites.

  9. avatar secure pisze:

    I appreciate, lead to I discovered just what I was having a look for.
    You have ended my four day long hunt! God Bless you man. Have a great day.


  10. Take a look at these pros and cons of grocery shopping online to see if you think it

    is for you. Plans usually offer a pretty good variety of meals as well, with many meal delivery services changing their menu every four weeks.

    n – Some plans offer basic meals that are not bad, but not that great tasting.

  11. Here’s a man who knows which castle his princess is in

  12. avatar kunjungi web pisze:

    What’s up to every single one, it’s truly a nice
    for me to pay a visit this web page, it includes helpful Information.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *