[SECURITY-L] Artigo sobre ataque ao banco Unibanco
Security Team - UNICAMP
security em unicamp.br
Sex Dez 12 15:25:47 -02 2003
----- Forwarded message from Denny Roger <denny em batori.com.br> -----
From: "Denny Roger" <denny em batori.com.br>
Subject: Artigo sobre ataque ao banco Unibanco
To: <security em unicamp.br>
Date: Thu, 11 Dec 2003 13:35:37 -0200
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
Segurança Digital
Segue artigo publicado sobre ataque ao site do banco Unibanco.
Caso voces tenham interesse em publicar, voces poderão utilizar os textos descrito abaixo.
Abraços,
Denny Roger
Batori Software & Security
www.batori.com.br
(11) 3105 5638
Número 0026 - Ano I - 10 de Dezembro de 2003
BATORI SECURITY
www.batori.com.br
Notícias, artigos e dicas sobre Segurança da Informação
denny em batori.com.br
ricardo em batori.com.br
FONE: (11) 3105.5638
Unibanco é vítima de ataque TOPO
Uma técnica de ataque conhecida por "cross-site scripting" está sendo utilizada no site
do banco Unibanco.
A técnica relacionada a "cross-site scripting" resulta de não checar adequadamente o conteúdo
de uma URL específica. Eventualmente, esta URL pode conter códigos maliciosos incluído por um
Cracker e o mesmo ser executado.
A conseqüência deste ataque pode resultar na exploração da ingenuidade humana, ou seja, o
Cracker poderá clonar o site no Unibanco e enviar por e-mail uma mensagem informando aos
correntistas acessarem o link http://www.unibanco.com.br/?redir=http://www.uniibanco.com.br.
Podemos analisar que o site http://www.uniibanco.com.br não existe, mas poderia ser explorado
por um Cracker.
A utilização desta técnica requer condições específicas, por exemplo, que o atacante conheca
de antemão quais sites são considerados confiáveis pelo usuário ou que os cookies do site
contenham informações sigilosas que possam ser lidas e exploradas, o que se vê fortemente
dificultado se o usuário seguir as práticas de segurança recomendadas.
Para testar a técnica, acesse: http://www.unibanco.com.br/?redir=http://www.itau.com.br/indexIE.htm
Neste exemplo, estamos acessando o site do Unibanco e redirecionando para o site do banco Itaú.
A técnica pode ser feita em qualquer outro site, basta remover o link do banco Itaú e colocar
(caminho absoluto) o link de outro site.
Autor: Denny Roger
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L