Falsificación de cuadros de diálogo en Firefox


Aviv Raff ha publicado un método para falsificar el mensaje que se muestra al tratar de autenticarse en un sitio web utilizando Firefox. Para ello ha explotado un error de diseño consistente en que Firefox (incluida la versión 2.0.0.11) muestra en estos diálogos las comillas simples, en lugar de eliminarlas. Ese defecto da lugar a manipulaciones que pueden facilitar el phishing.





Por ejemplo; estamos en un sitio web que nos muestra un enlace para pagar con Paypal. Al pulsarlo, se carga en una nueva página la web de Paypal, mientras un script nos redirige a la web del atacante, que nos ofrece el cuadro de autenticación manipulado. Un observador poco atento caerá en la trampa y suministrará los datos de acceso a su cuenta de Paypal (o su cuenta bancaria), que pasan a poder del atacante [Véase por ejemplo este vídeo].

Para mayor claridad, he manipulado el campo correspondiente en una autenticación y he capturado a continuación cómo lo muestran Explorer 6, Firefox, Opera y Konqueror...

Como podéis ver, Firefox se presta más fácilmente al engaño, aunque Konqueror no anda muy lejos (si bien las comillas simples "cantan" demasiado). En cambio tanto Explorer como Opera dejan bien claro ante qué sitio nos estamos autenticando:

1

2

3

4

Enlaces:
Método: http://aviv.raffon.net/2008/01/02/YetAnotherDialogSpoofingFirefoxBasicAuthentication.aspx

Bug: http://www.securityfocus.com/bid/27111

Fuente:
http://www.kriptopolis.org/



Otras noticias de interés:

Gusano se propaga por Facebook, Twitter, Gtalk y Orkut
Desde Securelist informan sobre la detección de un gusano diseñado para robar contraseñas de Facebook y aprovechar el perfil del usuario para propagarse por chat. El mensaje contiene un enlace malicioso, al acceder las víctimas se pueden infectar...
Las redes sociales también necesitan seguridad
Los entornos sociales virtuales vivirán un auge espectacular de aquí a diez años y las organizaciones deben implantar ya medidas antispam para protegerlos....
Copia de seguridad de información en móviles
La pérdida o robo de tu teléfono móvil que usas en la empresa suele acabar en desastre, porque la mayoría de las veces contiene la única copia de tu libreta de direcciones. Mientras que es posible sustituir tu número, haciendo un cambio de SIM ...
Google Chrome ya no es beta
Aunque parecía que el estado beta sería algo permanente en Google Chrome como muchos otros servicios de la compañía, al final no ha sido así y Google acaba de publicar la versión estable 1.0.154.36 de su navegador, justo cuando cumple 100 días...
Bug que permitía borrar las fotos de Facebook de los perfiles de otros usuarios
Recientemente, un experto informático llamado Laxman Muthiyah ha descubierto una vulnerabilidad en Facebook que podría haber causado graves problemas a la compañía....
El lado oscuro de la empresa 2.0
Aunque es muy habitual escuchar todos los beneficios que tiene el uso de las herramientas sociales en la empresa, sobre todo en estos días que se celebra la conferencia Enterprise 2.0 Conference en Boston, no hay que olvidar que también cuenta con ...
Diez claves de seguridad para redes sociales
Stonesoft ha elaborado una lista con las que considera las 10 claves de seguridad que cualquier usuario debe tener en cuenta para protegerse de los peligros que acechan a las redes sociales....
Microsoft anuncia la muerte definitiva del famoso Clippy o Clippo
Microsoft anunció que el famoso clip del programa Microsoft Office será eliminado definitivamente en la nueva versión de la suite de productividad....
Linux Kernel 2.5.22
Nuevamente Linus Torvalds ha lanzado una nueva versión del kernel de Linux, en esta ocasión se trata de la 2.5.22. ...
Liberado Mozilla 1.1
Ya fue liberada la versión final de Mozilla 1.1. Lo puedes bajar desde http://www.mozilla.org/releases Trae interesantes opciones....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • cuadros
  • debian
  • dialogo
  • exploits
  • falsificacion
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra