Blogia
Shibbo - Seguridad informática

La vulnerabilidad RCSR (Reverse Cross-Site Request) y Shibbo

Releyendo el artículo "Robo de claves a través de gestores de contraseña" (http://www.laflecha.net/canales/seguridad/robo-de-claves-a-traves-de-gestores-de-contrasena/) sería interesante recordar en qué consiste este ataque-vulnerabilidad y en qué manera afecta a Shibbo.

En primer lugar, los gestores de contraseña a los que se refiere el artículo, son la utilidad que incorporan los navvegadores web para almacenar y gestionar los datos de acceso (usuario y contraseña) a los sitios web que visitamos frecuentemente. Por lo tanto, no estamos hablando de gestores de contraseña como aplicación (web o de escritorio).

El ataque consiste en insertar un formulario oculto que contenga las mismas etiquetas que el formulario de acceso original (ej: username y password). Este formulario invisible enviará los valores de los campos completados por el navegador a una dirección maliciosa que recogerá esos datos.

Contado así, suena muy peligroso pero haría falta añadir (no siempre se explica claramente este aspecto en los artículos que comentan este tipo de ataque) que para que todo esto suceda, el atacante debe haber colocado-insertado-embebido dicho formulario en una página dentro del dominio a atacar

Esta acción puede llevarse a cabo por etiquetas iframe (marcos ocultos) y etiquetas html con el formulario que se insertan en un foro (por otra parte, la mayoría de los sistemas que permiten el envío o entrada de datos validan o impiden que se pueden utilizar este tipo de etiquetas).

En cuanto a Shibbo, tal y como se decía al principio, no está afectado como gestor de contraseñas (online o en su versión como portableapp) aunque no está de más hacer algunas recomendaciones extensibles a cualquier página con acceso restringido que visitemos habitualmente:

- No pulsar en links para acceder a la dirección web, sino escribir directamente la dirección en la barra de direcciones (una alternativa puede ser almacenar la dirección en nuestros favoritos, bien del navegador o cualquier servicio de marcadores online).

- No aceptar la opción de guardar o recordar contraseñas del navegador

- Desconectar o Cerrar siempre la sesión desde el enlace correspondiente, evitando dejarla abierta o cerrando el navegador

 

0 comentarios