- Otras noticias
.jpg)
La seguridad nunca es suficiente.jpg)
El gusano "sdbot.apa" fue el código malicioso que más daño causó en febrero
Nuevo concurso de seguridad de Honeynet Project
Salto de restricciones en McAfee Firewall Reporter
Crece el delito de robo de contraseñas en España
Denegación de servicio en Microsoft Exchange Server 2003
El malware "TrojanDownloader.Tivso.Y." descarga el gusano Mocalo.jpg)
Vulnerabilidades en el Shell de Windows
Principales amenazas para la seguridad VoIP
OpenSSL 1.0.0e soluciona dos vulnerabilidades
- En el foro
-
navegadores
IE7 y Firefox son propensos a ataques en autenticación
30 Abr 2007 | VS ANTIVIRUS
La autenticación codificada es una manera de encriptar una contraseña, antes de enviarla por Internet, considerada más segura que una autenticación básica a la hora de solicitar y enviar credenciales.
Básicamente, la primera vez que el cliente solicita un documento al servidor, ningún encabezamiento de autorización es enviado, y una respuesta simple es recibida. Luego, el cliente pregunta al usuario por su nombre y contraseña, enviando la respuesta al servidor con el cabezal de autorización.
Hay dos maneras de enviar las credenciales (utilizando HTML y JavaScript), y ambos navegadores son vulnerables a este tipo de ataque.
Un ataque del tipo "Http Request Splitting" o división de respuesta HTTP, permite al atacante enviar una única petición HTTP al servidor, de tal manera que obligue a éste último a formar una cadena de salida que puede ser interpretada como dos respuestas HTTP. El atacante puede controlar totalmente la segunda de esas salidas.
A partir de allí, es posible la realización de diferentes tipos de ataques o el uso de ciertas técnicas de intrusión.
Por ejemplo, es posible lanzar ataques del tipo Cross-site Scripting (XSS) (script que redirecciona de un dominio a otro la solicitud). También se puede envenenar la caché web (alterar su contenido), lo que permite la desfiguración de un sitio y ataques a otros usuarios que de forma temporal compartan la caché.
Un atacante también podría secuestrar páginas con la información del usuario (robo de identidad), o inclusive robar la caché del navegador, suplantando un recurso específico al que accede el usuario.
El robo de cookies de sesión o su modificación, también puede ser posible mediante algunos de esos ataques.
Varias técnicas pueden ser combinadas para llevar a cabo con éxito estos ataques.
Software vulnerable:
- Internet Explorer 7.0.5730.11
- Mozilla Firefox 2.0.0.3
Versiones anteriores también podrían ser vulnerables. Ha sido probado en Firefox 2.0.0.3 bajo Windows XP SP2 y Ubuntu 6.06, y en Internet Explorer 7.0.5730.11 bajo Windows XP SP2.
El navegador Safari (desarrollado por Apple para su sistema operativo Mac OS X) también es vulnerable. - Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
Entérate de cuándo hay nuevos comentarios - Publicidad
- Ahora en LaFlecha puedes encontrar Cursos y Másters
