Αδυναμία στην ιστοσελίδα της Interamerican εντοπίστηκε από τον hacker Delirium
00:48 28/10/2011
- Πηγή: Ksipnistere
Αδυναμία στην ιστοσελίδα της μεγαλύτερης Ελληνικής ασφαλιστικής εταιρείας Interamerican εντοπίστηκε σύμφωνα με ανώνυμη πληροφορία που κοινοποιήθηκε στο SecNews. O γνωστός από το πλούσιο βιογραφικό του hacker με το ψευδώνυμο »DeLiRiUm» εντόπισε XSS αδυναμία (Cross site scripting) στην κεντρική ιστοσελίδα της Interamerican.
Σύμφωνα με την πληροφορία που έφτασε μέσω ηλεκτρονικής αλληλογραφίας στο SecNews, ο άγνωστος μας ενημέρωσε ότι ο «Delirium» κατόρθωσε να....
πραγματοποιήσει την επίθεση του με χρήση
«POST Variable manipulation» δηλαδή κατορθώνοντας να αλλάξει συγκεκριμένη μεταβλητή POST προς όφελος του γεγονός που δεν θα έπρεπε να επιτρεπόταν. Επειδή η συγκεκριμένη επίθεση, απαιτεί εξειδικευμένα εργαλεία και γνώση για να αναπαραχθεί μας απέστειλαν συγκεκριμένο Screenshot που υποδεικνύει εμφανώς την αδυναμία:
Στο ανωτέρω Screenshot διαπιστώνουμε ότι με κατάλληλη χρήση παραμέτρων στην γραμμή του Browser ο Delirium είχε την δυνατότητα να εμφανίσει αλλοιωμένα μηνύματα στους περιηγητές ιστοσελίδων των επισκεπτών (για παράδειγμα εμφανίζει μήνυμα Hacked by Delirium – Greek Hacking Scene Greetings to cosmmin,Analyser,nikpa,kondor,xak,Ecx).
Το ανησυχητικό είναι ότι ο άγνωστος στο μήνυμα του αναφέρει επίσης ότι με χρήση της αδυναμίας που εντόπισε ο «Delirium» είχε την δυνατότητα με κλοπή των Cookies των χρηστών να αποκτήσει πρόσβαση σε ανυποψίαστους χρήστες του «my interamerican» χωρίς να είναι απαραίτητη η γνώση και χρήση των κωδικών τους !!! Το «My Interamerican» είναι ηλεκτρονική υπηρεσία εξόφλησης συμβολαίων και παρακολούθησης χαρτοφυλακίων Αμοιβαίων κεφαλαίων.
Στο SecNews δεν κοινοποιήθηκε ουδεμία απόδειξη κλοπής δεδομένων χρηστών ή δυνατότητας πρόσβασης στο «My Interamerican» και συνεπώς μεταφέρουμε την συγκεκριμένη πληροφορία με κάθε επιφύλαξη αποκλειστικά και μόνο ως αναφορά για το περιστατικό,μιας και δεν μπορέσαμε να ελέγξουμε την ορθότητα της.
Είναι σαφές ότι ο στόχος της συγκεκριμένης επίθεσης από τον Delirium δεν ήταν η αλλοίωση της ιστοσελίδας ή η παράνομη πρόσβαση σε εταιρικούς πόρους και δεδομένα, αλλά αποκλειστικά η ενημέρωση για την ύπαρξη της αδυναμίας, ώστε να ενημερωθούν άμεσα οι υπεύθυνοι.Το ζήτημα είναι να ευαισθητοποιηθούν άμεσα οι υπεύθυνοι ώστε να μην τύχει εκμετάλλευσης η κοινοποιημένη αδυναμία ή πιθανόν και άλλες παρόμοιες που επηρεάζουν τα δεδομένα χρηστών της συγκεκριμένης Online υπηρεσίας.
http://www.secnews.gr/Εδώ θα πεις δημόσια την γνώμη σου____ Ο σιωπών δοκεί συναινείν[email protected]
πραγματοποιήσει την επίθεση του με χρήση
«POST Variable manipulation» δηλαδή κατορθώνοντας να αλλάξει συγκεκριμένη μεταβλητή POST προς όφελος του γεγονός που δεν θα έπρεπε να επιτρεπόταν. Επειδή η συγκεκριμένη επίθεση, απαιτεί εξειδικευμένα εργαλεία και γνώση για να αναπαραχθεί μας απέστειλαν συγκεκριμένο Screenshot που υποδεικνύει εμφανώς την αδυναμία:
Στο ανωτέρω Screenshot διαπιστώνουμε ότι με κατάλληλη χρήση παραμέτρων στην γραμμή του Browser ο Delirium είχε την δυνατότητα να εμφανίσει αλλοιωμένα μηνύματα στους περιηγητές ιστοσελίδων των επισκεπτών (για παράδειγμα εμφανίζει μήνυμα Hacked by Delirium – Greek Hacking Scene Greetings to cosmmin,Analyser,nikpa,kondor,xak,Ecx).
Το ανησυχητικό είναι ότι ο άγνωστος στο μήνυμα του αναφέρει επίσης ότι με χρήση της αδυναμίας που εντόπισε ο «Delirium» είχε την δυνατότητα με κλοπή των Cookies των χρηστών να αποκτήσει πρόσβαση σε ανυποψίαστους χρήστες του «my interamerican» χωρίς να είναι απαραίτητη η γνώση και χρήση των κωδικών τους !!! Το «My Interamerican» είναι ηλεκτρονική υπηρεσία εξόφλησης συμβολαίων και παρακολούθησης χαρτοφυλακίων Αμοιβαίων κεφαλαίων.
Στο SecNews δεν κοινοποιήθηκε ουδεμία απόδειξη κλοπής δεδομένων χρηστών ή δυνατότητας πρόσβασης στο «My Interamerican» και συνεπώς μεταφέρουμε την συγκεκριμένη πληροφορία με κάθε επιφύλαξη αποκλειστικά και μόνο ως αναφορά για το περιστατικό,μιας και δεν μπορέσαμε να ελέγξουμε την ορθότητα της.
Είναι σαφές ότι ο στόχος της συγκεκριμένης επίθεσης από τον Delirium δεν ήταν η αλλοίωση της ιστοσελίδας ή η παράνομη πρόσβαση σε εταιρικούς πόρους και δεδομένα, αλλά αποκλειστικά η ενημέρωση για την ύπαρξη της αδυναμίας, ώστε να ενημερωθούν άμεσα οι υπεύθυνοι.Το ζήτημα είναι να ευαισθητοποιηθούν άμεσα οι υπεύθυνοι ώστε να μην τύχει εκμετάλλευσης η κοινοποιημένη αδυναμία ή πιθανόν και άλλες παρόμοιες που επηρεάζουν τα δεδομένα χρηστών της συγκεκριμένης Online υπηρεσίας.
http://www.secnews.gr/Εδώ θα πεις δημόσια την γνώμη σου____ Ο σιωπών δοκεί συναινείν[email protected]
Keywords
interamerican, hacker, αδυναμια, hacker, interamerican, xss, cross, site, συγκεκριμένο, browser, greek, hacking, scene, cookies, ηλεκτρονική, online, http, βιογραφικο, xss, ηλεκτρονική, γνωμη, γνωση, εργαλεια, αγνωστος, ανησυχητικο, γεγονος, δυνατοτητα, ενημερωση, επρεπε, υπηρεσια, κλοπη, μηνυματα, οφελος, συγκεκριμένο, browser, cookies, http, greek, hacking, scene, site, online, xak
Τυχαία Θέματα
- Δημοφιλέστερες Ειδήσεις Κατηγορίας Blogs
- Π. Τσαπανίδου: Δείτε το... νεογέννητο μωρό της και τις δεκάδες ευχές των φίλων της!
- Το τέλειο σπιτικό pop corn
- Αφρικάνικη βιολέτα - σαιντπώλια
- Σπάνιο οπτικό υλικό από την Γερμανική Κατοχή - ''ΟΧΙ'' Ιστορική Πολεμική Ταινία
- Ολυμπιακός - Φενέρ: 81-74
- Αδυναμία στην ιστοσελίδα της Interamerican εντοπίστηκε από τον hacker Delirium
- Ειδικός φρουρός επιτέθηκε σε αστυνομικούς της ομάδας ΔΙΑΣ
- Δημοφιλέστερες Ειδήσεις Ksipnistere
- Αδυναμία στην ιστοσελίδα της Interamerican εντοπίστηκε από τον hacker Delirium
- Η ΝΕΑ ΟΔΟΣ ΕΣΤΕΙΛΕ ΑΣΤΥΝΟΜΙΑ ΚΑΙ ΔΙΚ. ΕΠΙΜΕΛΗΤΕΣ ΓΙΑ ΝΑ ΚΑΤΑΣΧΕΣΟΥΝ ΤΟ ΑΥΤΟΚΙΝΗΤΟ ΣΥΝΑΓΩΝΙΣΤΡΙΑΣ ΜΑΣ-ΤΟΥΣ "ΚΟΨΑΜΕ ΤΑ ΧΕΡΙΑ".
- ΑΙΣΧΟΣ
- Το πρόγραμμα επίσκεψης στην Αλεξανδρούπολη του πλοίου του Ρωσικού Στόλου "Cesar Kunikov"
- Α. ΠΑΝΑΓΙΩΤΑΡΕΑ: "Μόνο με ένα ισχυρό ΣΟΚ μπορεί να συνέλθει η Οικονομία"
- Λιβαδειά:με μαύρα περιβραχιόνια στις παρελάσεις.
- Η ΕΛΛΑΔΑ ΓΙΝΕΤΑΙ...ΟΥΓΚΑΝΤΑ!
- 28 ΟΚΤΩΒΡΙΟΥ 2011 . Μήνυμα προς τους ΕΛΛΗΝΕΣ , από το ιστολόγιο ΑΝΤΙ-"Αντιπροσώπευση"
- ΖΗΤΕΙΤΑΙ ΕΛΛΗΝ ΄΄ΗΡΩΑΣ΄΄ ΗΓΕΤΗΣ ΓΙΑ ΤΗΝ ΣΩΤΗΡΙΑ ΤΗΣ ΠΑΤΡΙΔΑΣ.
- Σπάνιο οπτικό υλικό από την Γερμανική Κατοχή - ''ΟΧΙ'' Ιστορική Πολεμική Ταινία
- Τελευταία Νέα Ksipnistere
- Αδυναμία στην ιστοσελίδα της Interamerican εντοπίστηκε από τον hacker Delirium
- Έντονες αμφιβολίες για την αποτελεσματικότητα του "κουρέματος" και από τον Έβλαντ Νοβότνι
- Γ. ΜΙΧΕΛΑΚΗΣ: "Το ΠΑΣΟΚ βρίσκεται προ αδιεξόδου, αυτό θα οδηγήσει σε εξελίξεις"
- Σπάνιο οπτικό υλικό από την Γερμανική Κατοχή - ''ΟΧΙ'' Ιστορική Πολεμική Ταινία
- Η ΝΕΑ ΟΔΟΣ ΕΣΤΕΙΛΕ ΑΣΤΥΝΟΜΙΑ ΚΑΙ ΔΙΚ. ΕΠΙΜΕΛΗΤΕΣ ΓΙΑ ΝΑ ΚΑΤΑΣΧΕΣΟΥΝ ΤΟ ΑΥΤΟΚΙΝΗΤΟ ΣΥΝΑΓΩΝΙΣΤΡΙΑΣ ΜΑΣ-ΤΟΥΣ "ΚΟΨΑΜΕ ΤΑ ΧΕΡΙΑ".
- Ας μην πανηγυρίζουν εκείνοι που κατάντησαν τη χώρα για τα πανηγύρια
- Φοβάμαι τη βλακεία Θεέ μου...
- Μέρκελ να μην το χαίρεσαι πως πήρες την Ελλάδα.
- Νικητές θα είμαστε εμείς...
- ΤΙ ΛΕΕΙ Ο ΕΛΛΗΝ ΓΑΪΔΑΡΑΚΟΣ ΓΙΑ ΤΟ ΔΙΑΓΓΕΛΜΑ ???
- Τελευταία Νέα Κατηγορίας Blogs
- ΕΝ ΚΑΙΡΩ ΚΡΙΣΗΣ ΚΑΙ ΠΑΡΑΚΜΑΣΗΣ Η ΝΕΟΛΑΙΑ ΣΥΝΕΧΙΖΕΙ!!! ΑΠΟΔΕΙΞΗ: ΓΥΡΝΑΝΕ ΤΑΙΝΙΑ ΔΡΑΣΗΣ ΣΤΗΝ ΑΡΤΑ
- Τέμπη: Κυκλοφοριακές ρυθμίσεις λόγω εργασιών από 1η Νοέμβριου
- VIDEO: Δείτε πριν και μετά το χειρουργείο την Άννα Βίσση!
- Μεγάλη απειλή για τα παιδιά ο θόρυβος στα σχολεία
- Συζητήσεις Ελβετίας - Ελλάδας για φορολόγηση καταθέσεων
- Πτώματα πέφτουν από τρένο στην Κίνα [video]
- Για την τιμή των όπλων...
- Σπάνιο οπτικό υλικό από την Γερμανική Κατοχή - ''ΟΧΙ'' Ιστορική Πολεμική Ταινία
- Πνίγηκε προσπαθώντας να σώσει το αγόρι της
- Μπορεί να κερδίσει τον Ομπάμα;