Italijanski bezbednosni stručnjak Rosario Valotta tvrdi kako je otkrio novi propust u Internet Explorer-u koji omogućava potencijalnom napadaču krađu korisnikovih cookiea, čime mu je omogućeno da se prijavi na stranice zaštićene korisničkim imenom i lozinkom.
Za propust koji naziva "cookiejacking" Valotta tvrdi da je prisutan u svim verzijama Internet Explorer-a za sve verzije Windows-a, i omogućava "otimanje" bilo kojeg cookiea za bilo koje internet stranice. U svojoj demonstraciji propusta na bezbednosnim konferencijama Swiss Cyber Storm i Hack in the Box, Vallota je priznao da za je iskorišćavanje potreban određeni nivo socijalnog inženjeringa, odnosno žrtva mora "povući i ispustiti" objekt na ekranu kako bi cookie bio ukraden.
Ali takođe je istakao kako je vrlo lako postaviti odgovarajući zadatak na stranice koji će privući veliki broj posetilaca da povuku i ispuste određeni objekt. Primera radi, on je na svoje stranice na Facebook-u postavio sliku žene kojoj se može skinuti odeća povlačenjem i puštanjem na određenu poziciju na ekranu, čime je uspeo da dobije cookie posetilaca za pristup njihovim profilima na Facebook-u.
Microsoft-ovi predstavnici istakli su kako za sada ne vide veliki rizik od cookiejackinga, obzirom da je potreban veliki nivo interakcije sa potencijalnim žrtvama.
Otimanje kolačića u Internet Explorer-u
10:12
nema komentara
Postavi komentar
Vaš komentar: