dodany: 11.01.2013 | tagi: , , ,

Autor:

Niebezpieczeństwo w poczcie Yahoo

3

Niedawno informowaliśmy Was o wprowadzeniu protokołu HTTPS do poczty Yahoo (zobacz newsa: Yahoo dodaje obsługę HTTPS do swojej poczty). Użytkownikom tej poczty radzimy przełączenie się na bezpieczniejszą wersję protokołu, gdyż Shahin Ramezany udowodnił podatność klienta pocztowego na atak cross-site scripting. Spreparowany przez niego exploit pozwala na przejęcie kontroli nad kontem ofiary.

Atak ten bazuje na metodzie DOM (ang. Document Object Model) i jest możliwy do zrealizowania w każdej dostępnej przeglądarce internetowej. Ramezany przedstawił metodę przejęcia konta w niecałe 5 minut, za pomocą złośliwego linka, uzupełniając te działania socjotechniką oraz platformą do pentestów – przebieg z tej akcji możecie obejrzeć na poniższym filmie:

W metodzie tej posłużono się zewnętrznym złośliwym plikiem HTML, który pozwala na przejęcie cookie odpowiedzialnego za logowanie do poczty atakowanego. Powyższa demonstracja dotyczy „wersji” poczty na standardowym protokole HTTP.

Domyślnie logowanie do poczty Yahoo przebiega z użyciem protokołu HTTPS, ale sama aplikacja poczty działa już na protokole w wersji niezabezpieczonej.

Stosowną opcję znajdziemy w zakładce Opcje poczty, gdzie należy zaznaczyć opcję Włącz SSL (Zabezpiecz usługę Poczta Yahoo! przy użyciu protokołu SSL zapobiegając dostępowi innych osób do Twojego konta w kafejkach internetowych).

W naszym kraju poczta Yahoo nie jest popularna, ale na świecie używa jej ponad 400 milionów użytkowników.

Redaktor działu aktualności WebSecurity.pl. Pasjonat komputerów od czasów epoki "bezmyszkowej".

3 odpowiedzi na “Niebezpieczeństwo w poczcie Yahoo”

  1. avatar Rocik napisał(a):

    Nie będę zdziwiony, jeśli liczba użytkowników spada. To chyba jeden z najbardziej spamujących serwerów na świecie. W większości spam przychodzi albo z Chin albo ogolnie z Yahoo. Jak to jest, że najczęściej najsłabsze podukty się wybijają ponad inne?

  2. avatar Bratek napisał(a):

    Przełączenie się na wersje HTTPS w żaden sposób nie ochroni przed atakami XSS…

  3. avatar Jina napisał(a):

    The phone was successful in creating a huge buzz much before its launch and now when it
    has been launched; there is a huge craze among people to buy it.
    Crucial characteristics of this smartphone are its Enterprise-ready safety and IT-grade policies which enable your cellphone to be
    applied for get the job done and play. For starters, instead of having a small aluminum
    unibody chassis, it’s this big honking plastic thing, with a 5-inch, 1080p touchscreen that’s so sensitive you can use it with
    gloves on (or even gesture in the air above
    it).

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *