Spoofing durante autentificación básica HTTP en IE7

en Noticias de Seguridad Informatica
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Noticias de Actualidad : Noticias de Seguridad Informatica
Noticias de Seguridad Informatica Noticias de Seguridad Informatica Todas las Noticias de Seguridad Informatica. Alertas y fallos de seguridad.

Spoofing durante autentificación básica HTTP en IE7

Compartir

Microsoft Internet Explorer 7 es propenso a una debilidad que permite falsificar el nombre del dominio en una autentificación básica HTTP.

HTTP proporciona un mecanismo de intercambio de respuestas simples que puede ser utilizado para una autenticación básica del usuario que solicita determinados recursos. El servidor solicita los datos y el cliente proporciona la información que lo autentifica. Esto se produce generalmente a través de una ventana de diálogo.

Sin embargo, es posible engañar al navegador, para que la referencia del servidor (nombre del dominio mostrada en la URL del sitio), no sea la verdadera, de tal modo que el usuario envíe información a un sitio falso.

La debilidad se produce en la interpretación de dominios internacionales, el estándar IDN (International Domain Name), que permite la utilización de caracteres unicode en los nombres de dominios.

La norma IDN para nombres de dominio internacionalizados, utiliza Unicode para poder usar nombres de dominio multilingües, los que incluyan caracteres españoles, griegos, cirílicos, hebreos, árabes, y hasta ideogramas japoneses, chinos y coreanos.

Un atacante puede utilizar esta vulnerabilidad para realizar ataques de phishing, entre otros que involucren alguna acción de "spoofing", esto es, hacer que una solicitud parezca venir de un sitio diferente al que realmente la realiza.

Para explotar este problema, un atacante debe convencer a un usuario confiado, que visite una página web maliciosamente construida.

No hacer clic sobre enlaces recibidos en mensajes no solicitados, ayuda a disminuir los riesgos de caer en este tipo de trampa.

La protección anti- phishing de Internet Explorer 7, no siempre resultará efectiva en estos casos.

Una prueba de concepto ha sido publicada para demostrar el problema.

Son afectadas todas las versiones de Internet Explorer 7.

Referencias:

Cross Domain Basic Auth Phishing Tactics
http://ha.ckers.org/blog/20070608/cr...shing-tactics/

Microsoft Internet Explorer 7 HTTP Authentication International Domain Name Spoofing Weakness
http://www.securityfocus.com/bid/24483

CVE-2007-3164
http://www.cve.mitre.org/cgi-bin/cve...=CVE-2007-3164

CVE (Common Vulnerabilities and Exposures), es la lista de nombres estandarizados para vulnerabilidades y otras exposiciones de seguridad que han tomado estado público, la cuál es operada por cve.mitre.org, corporación patrocinada por el gobierno norteamericano.

Créditos:

Alexander Brachmann

Fuente: VSANTIVIRUS
Compartir
  #1  
Creado: 23-Jun-2007, a las 18:01 Vistas: 762
Categoria: Noticias de Seguridad Informatica
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
autentificación, básica, http, ie7, spoofing


Temas Similares
» Sistema de autentificación en dos pasos para todos los usuarios de Google 0
» Entra ya al nuevo mu =http://mu-player.sytes.net 0
» http://www.fotolog.com/supervivienteso9 0
» http://fullmetal.sytes.net/ 0
» http://fullmetal.sytes.net/ 0
» Spoofing de direcciones en IE "document.open()" 0
» Agent.VP. Envía información a un servidor vía HTTP 0
» TrojanClicker.Aplugin.D. Se conecta a servidor HTTP 0
» Vulnerabilidad HTTP Request Smuggling en Apache 2.0.x 0
» Spoofing de cuadro de diálogo en múltiples navegadores 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 14:20.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4