• Falha XSS Favorece Hijacking em Contas da Amazon

    Publicado em 18-09-2014 12:00
    0 Comentários Comentários
    Uma falha XSS recorrente, detectado na Kindle Library, ou seja, a aplicação Web "Manage your Kindle" da Amazon, pode ser explorada por crackers que procuram roubar conta de usuários, de acordo com um alerta feito por um pesquisador alemão. Para que esse ataque venha a funcionar, o usuário deve ser levado a adicionar um e-book que contém um script específico em seus metadados para sua biblioteca Kindle, e, em seguida, abrir a página da web Kindle Library. Uma vez feito isto, o código é executado automaticamente e o atacante pode colher os cookies das contas dos usuários da Amazon, que pode então ser usado para ganhar acesso à conta da vítima.


    Para provar essa conclusão, Mussler criou um arquivo de Proof-of-Concept que contém o script nos metadados do título, e o tornou disponível para download para que outros possam verificar. Mas, aparentemente, essa falha não é nova. Ele descobriu que, em novembro de 2013 a Amazon já havia sido notificado. A equipe de segurança da empresa fez a correção, mas por um motivo ainda desconhecido, reintroduziu a falha na nova versão (mais recente) do web app.


    Saiba Mais:

    [1] B.FL7.DE http://b.fl7.de/2014/09/amazon-store...-metadata.html
    + Enviar Comentário