|
Uma técnica de ataque conhecida por "cross-site
scripting" está sendo utilizada no site do banco Unibanco.
A técnica relacionada a "cross-site scripting" resulta de não checar adequadamente o conteúdo de uma URL específica. Eventualmente, esta URL pode conter códigos maliciosos incluído por um Cracker e o mesmo ser executado. A conseqüência deste ataque pode resultar na exploração da ingenuidade humana, ou seja, o Cracker poderá clonar o site no Unibanco e enviar por e-mail uma mensagem informando aos correntistas acessarem o link http://www.unibanco.com.br/?redir=http://www.uniibanco.com.br. Podemos analisar que o site http://www.uniibanco.com.br não existe, mas poderia ser explorado por um Cracker. A utilização desta técnica requer condições específicas, por exemplo, que o atacante conheca de antemão quais sites são considerados confiáveis pelo usuário ou que os cookies do site contenham informações sigilosas que possam ser lidas e exploradas, o que se vê fortemente dificultado se o usuário seguir as práticas de segurança recomendadas. Para testar a técnica, acesse: http://www.unibanco.com.br/?redir=http://www.itau.com.br/indexIE.htm Neste exemplo, estamos acessando o site do Unibanco e redirecionando para o site do banco Itaú. A técnica pode ser feita em qualquer outro site, basta remover o link do banco Itaú e colocar (caminho absoluto) o link de outro site. Autor: Denny Roger Fonte: www.batori.com.br
|