Juan Carlos García Cuartango alerta de una nueva vulnerabilidad,
está vez implícita en un error de diseño en la mayoría de los
navegadores, el eeror pueda facilitar la falsificación de una
página web.
Cuartango, el implacable cazador de bugs vuelve a sorprendernos
con un nuevo problema, según nos informa «si la URL no cabe en la
caja de direcciones el navegador muestra la parte derecha de la
misma lo que provoca un agujero de seguridad del timo frame-spoofing
o web-spoofing (falsificación de tramas o de servidores). El usuario
cree estar en un sitio diferente al que le aparece en su barra de
direcciones».
El problema reside en que la barra de navegación tan sólo muestra
la parte derecha de la URL. Por ejemplo, si durante la navegación
llegamos a una URL de la forma:
http://www.sitio_malicioso.com/pagina_maliciosa.html?http://www.yahoo.com?argumentos
En la barra de navegación tan solo se visualizará
http://www.yahoo.com?argumentos lo cual hará creer que nos encontramos
en un sitio legal. Todo ello debe acompañarse de una página web
modificada a tal efecto.
El problema se puede reproducir tanto en Netscape 4.5 como en
Internet Explorer 4 y 5. Al disponer la URL esta debe ser
cuidadosamente diseñada para que se visualice en la parte derecha
del navegador la parte correspondiente a la dirección que se
pretende falsear. Esto puede presentar un problema ya que para
cada tamaño de pantalla o dimensión del navegador el tamaño de
la barra puede variar, pero se puede solventar obligando a la
pantalla a visualizarse en un tamaño fijo. Cuartango ha avisado
de este problema, a su parecer bastante grave, a Netscape y
Microsoft, pero ambos han ignorado su aviso alegando que se trata
de un bug menor.
Más información:
Demo en español
Demo en inglés
Deja un comentario