Security Lab

Уязвимость в Myvoicestream.com

Дата публикации:14.01.2002
Всего просмотров:908
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Уязвимость защиты в myvoicestream.com позволяет похищать активные сеансы. Уязвимость позволяет нападающим обращаться к чувствительной информации, выполнять роль активной учетной записи, и т.п.

Myvoicestream.com позволяет безпроводным клиентам VoiceStream управлять их телефонами и составлять счета по SSL. VoiceStream имеет более 6 миллионов клиентов.

Средство управления доступа к сеансам весьма слабо и просто похищается; несмотря на уведомление VoiceStream в середине ноября 2001, проблема так и не решена.

Найдены проблемы:
Браузер на любом компьютере способен присоединиться к сеансу, начатому на другом компьютере.
"Log out" не делает чего нибудь существенного. Ссылка "Log out" в https://myvoicestream.com возвращает пользователя к новой странице входа в систему, но сеанс остается допустимым на сервере.
Если Вы идете к странице 'update profile' и просмотрите источник, вы увидете установленный в настоящее время пароль.

Таким образом вы можете похитить сеанс, получить доступ к паролю, потенциально компрометируя другие учетные записи.

Ссылки: http://owasp.securitylab.ru/?ID=27082