Re: [HACK] [Fwd: [Kernel Panic] Grave falla afecta el Proxy Caché de Telefónica]
Oscar Gallego Sendín
ogs at robota.net
Wed May 21 18:09:45 CEST 2003
> Dos puntos importantes hacen esta falla muy peligrosa.
> Primero, es posible robar las cookies de cualquier dominio, y
> segundo, el cliente que realiza la solicitud, es incapaz de
> distinguir que dominio generó el código, lo que hace
> vulnerable a cualquier otro cliente que se conecte.
> Indirectamente, cualquier servidor cuyos clientes se conecten
> a través de dicho proxy y use cookies para gestionar sus
> sesiones es vulnerable.
¿Esto es así realmente? Es decir... Un problema de Cross-Site Scripting en,
por ejemplo, www.banco.com permitiría robar las cookies del dominio
banco.com. Es normal, el código inyectado
es accedido a través de ese dominio. Pero el código inyectado en banco.com
no puede robar las cookies de otro dominio, pues no tiene acceso a ellas.
De ser así, cualquiera podría escribir una página que robara cookies de
otros dominios... ¿Estoy en lo cierto? ¿Como es posible que el código
inyectado en el proxy te robe las cookies de "cualquier dominio"? Si esto es
como se está contando, yo podría escribir una página WEB vulnerable a
Cross-Site Scripting, y con ella robar las cookies de cualquier dominio,
¿no?.
> Las víctimas potenciales podrían ser los clientes de
> instituciones bancarias que acceden vía Internet y quienes
> realizan algún tipo de comercio electrónico.
Las "instituciones bancarias" y la mayoría de los sitios que realizan
comercio electrónico emplean HTTPS, que no es tratado por el proxy. Este
tráfico viaja cifrado entre el cliente y el servidor, no hay nada que
cachear... La información cifrada de la comunicación de un cliente contra el
servidor no es reutilizable para otro cliente.
Corregirme si me he equivocado en mi razonamiento... A mi todo esto me suena
a "sensacionalismo"... Como problema de seguridad que es, se debe
solucionar, pero la gravedad de la que se habla no me parece tal.
Un cordial saludo
--
Oscar Gallego Sendín
ROBOTA
http://www.robota.net
More information about the hacking
mailing list