Archivo

lunes, 24 de enero de 2011

Sé que tienes una cuenta Porno :-O



     Cualquier persona, puede saber en que pagina te encuentras actualmente registrado, ya sea Facebook, Twitter, Digg u cualquier otro (sin importar q utilices una coneccion segura https, por ejemplo si utilizas Gmail), tal vez pienses, "y bueno mucha gente utiliza esos servicios", pero q pasaria si también pudiese saber si esta logueado en un sitio porno? no querras opacar tu buena imagen verdad?, pues esto daría la posibilidad a..., porque no, extorsiones, facilitaría el trabajo a los spammers, y bueno todo un tema de privacidad.

     El investigador Mike Cadwell, nos muestra lo fácil q es conocer el estado en q se encuentra un internauta en una determinada web, pues, resulta q muchos sitios nos devuelve un estado diferente (http status code), que depende si estamos logueados, o no en dicho site.

     Basicamente lo que debemos hacer es cargar en nustra web "maligna" este estado, de esta manera podremos saber en q lugar se encuentra nuestro visitante.

     Veamos el siguiente codigo HTML que nos permitira saber si estamos logueados o no en Gmail

<img style="display:none;"
     onload="logged_in_to_gmail()"
     onerror="not_logged_in_to_gmail()"
     src="https://mail.google.com/mail/photos/static/AD34hIhNx1pdsCxEpo6LavSR8dYSmSi0KTM1pGxAjRio47pofmE9RH7bxPwelO8tlvpX3sbYkNfXT7HDAZJM_uf5qU2cvDJzlAWxu7-jaBPbDXAjVL8YGpI"
/>


el funcionamiente se simple, lo que hace es cargar una imagen en el atributo src, del tag img. Esta imagen es sólo visible para usuarios que se encuentren logueados en gmail, si no fuera este el caso devulve la pagina de inicio de gmail (en otros casos respondera con algun error del tipo 404, 403, 500, etc.)

Para mas información ...

https://grepular.com/Abusing_HTTP_Status_Codes_to_Expose_Private_Information

No hay comentarios: