[outlook] Vector de Ataque Web mediante ingeniería social

Iniciado por hielasangre, Enero 26, 2014, 10:34:31 PM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 26, 2014, 10:34:31 PM
Después de mucho tiempo sin escribir voy a hacer un post sencillo y breve...
El ataque no es algo muy elaborado, pero el ataque es viable por medio de una variable (donde se especifica el correo al cual se envía la información cuando uno intenta resetear su clave)


El enlace es:

Código: php
https://account.live.com/MessagePage.aspx?message=autocsrsuccess&[email protected]

Texto donde figura el correo electronico que aparece en la url:

Código: php
Enviaremos un mensaje de correo electrónico a [email protected] para informarle si brindó suficiente información para recuperar su cuenta. Generalmente se necesitan alrededor de 24 horas para revisar la información enviada. Si ya envió una solicitud, la cerraremos y echaremos un vistazo en esta.


Si agregamos texto después del correo electrónico, podemos "alterar" el contenido de la web. Esto facilitaría a un atacante, que ingrese una url (solo en texto plano, ya que la web no permite tags html) engañando a la victima para que le facilite datos sensibles para el posterior robo de credenciales.

Por ejemplo, se podría realizar un ataque modificando la url y con un poco de ingenio dejarlo de la siguiente manera:

Eso es todo.

#RemoteExecution 2014
__EOF__
Enero 27, 2014, 02:13:48 AM #1
muy bueno, otro más para tener en cuenta.
"Todo el mundo desea saber, pero nadie quiere pagar el precio."
Enero 27, 2014, 11:25:30 AM #2
Jajajaja muy buen ojo!  ;)

Febrero 11, 2014, 02:31:34 AM #3
excelente aporte  :)
Imprimir
Ir Arriba Páginas1
Acciones del Usuario