- Otras noticias
Un experto regala un libro sobre seguridad que Microsoft se negó a publicar
El virus Medbot.BK. compromete la seguridad del sistema
Las agendas telefónicas, un nuevo motivo de preocupación
Encuentran múltiples denegaciones locales de servicio en Mac OS X
Denegación de servicio en ISC BIND 9.x.jpg)
Phel, una nueva amenaza para usuarios de Windows XPLa mitad de los internautas navegan sin protección alguna
La mayor amenaza a la seguridad son los usuarios
Los troyanos bancarios amenazan las compras navideñas
El 79% de los hogares todavía tira a la basura información personal que puede ser usada para la suplantación de identidad
- En el foro
-
navegadores
IE7 y Firefox son propensos a ataques en autenticación
30 Abr 2007 | VS ANTIVIRUS
La autenticación codificada es una manera de encriptar una contraseña, antes de enviarla por Internet, considerada más segura que una autenticación básica a la hora de solicitar y enviar credenciales.
Básicamente, la primera vez que el cliente solicita un documento al servidor, ningún encabezamiento de autorización es enviado, y una respuesta simple es recibida. Luego, el cliente pregunta al usuario por su nombre y contraseña, enviando la respuesta al servidor con el cabezal de autorización.
Hay dos maneras de enviar las credenciales (utilizando HTML y JavaScript), y ambos navegadores son vulnerables a este tipo de ataque.
Un ataque del tipo "Http Request Splitting" o división de respuesta HTTP, permite al atacante enviar una única petición HTTP al servidor, de tal manera que obligue a éste último a formar una cadena de salida que puede ser interpretada como dos respuestas HTTP. El atacante puede controlar totalmente la segunda de esas salidas.
A partir de allí, es posible la realización de diferentes tipos de ataques o el uso de ciertas técnicas de intrusión.
Por ejemplo, es posible lanzar ataques del tipo Cross-site Scripting (XSS) (script que redirecciona de un dominio a otro la solicitud). También se puede envenenar la caché web (alterar su contenido), lo que permite la desfiguración de un sitio y ataques a otros usuarios que de forma temporal compartan la caché.
Un atacante también podría secuestrar páginas con la información del usuario (robo de identidad), o inclusive robar la caché del navegador, suplantando un recurso específico al que accede el usuario.
El robo de cookies de sesión o su modificación, también puede ser posible mediante algunos de esos ataques.
Varias técnicas pueden ser combinadas para llevar a cabo con éxito estos ataques.
Software vulnerable:
- Internet Explorer 7.0.5730.11
- Mozilla Firefox 2.0.0.3
Versiones anteriores también podrían ser vulnerables. Ha sido probado en Firefox 2.0.0.3 bajo Windows XP SP2 y Ubuntu 6.06, y en Internet Explorer 7.0.5730.11 bajo Windows XP SP2.
El navegador Safari (desarrollado por Apple para su sistema operativo Mac OS X) también es vulnerable. - Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
Entérate de cuándo hay nuevos comentarios - Publicidad
- Ahora en LaFlecha puedes encontrar cursos y másters
