Уразливості на live.com

23:55 25.09.2009

У січні, 31.01.2009, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості на сайті https://signup.live.com компанії Microsoft.

Abuse of Functionality:

На сторінці реєстрації https://signup.live.com/signup.aspx функція Check Availability, яка призначена для перевірки чи вільний даний логін, дозволяє дізнатися логіни користувачів в системі.

Insufficient Anti-automation:

Враховучи, що дана функція немає захисту від автоматизованих атак, це дозволяє проводити автоматизоване виявлення логінів (які використовуються для доступу до пошти Hotmail та інших проектів Microsoft). Що може бути зроблено за допомогою брутфорсерів логінів, зокрема, моєї програми Brute force login identifier.

В подальшому виявлені логіни можуть бути використані для визначення паролів користувачів сайта.


Leave a Reply

You must be logged in to post a comment.