[SECURITY-L] Artigo sobre ataque ao banco Unibanco

Security Team - UNICAMP security em unicamp.br
Sex Dez 12 15:25:47 -02 2003 

----- Forwarded message from Denny Roger <denny em batori.com.br> -----

From: "Denny Roger" <denny em batori.com.br>
Subject: Artigo sobre ataque ao banco Unibanco
To: <security em unicamp.br>
Date: Thu, 11 Dec 2003 13:35:37 -0200
X-Mailer: Microsoft Outlook Express 6.00.2800.1158

Segurança Digital
Segue artigo publicado sobre ataque ao site do banco Unibanco.

Caso voces tenham interesse em publicar, voces poderão utilizar os textos descrito abaixo.

Abraços,

Denny Roger
Batori Software & Security
www.batori.com.br
(11) 3105 5638

Número 0026 - Ano I - 10 de Dezembro de 2003  

BATORI SECURITY 
www.batori.com.br 
Notícias, artigos e dicas sobre Segurança da Informação 
denny em batori.com.br 
ricardo em batori.com.br 
FONE: (11) 3105.5638 
                       
Unibanco é vítima de ataque TOPO    


Uma técnica de ataque conhecida por "cross-site scripting" está sendo utilizada no site
do banco Unibanco.

A técnica relacionada a "cross-site scripting" resulta de não checar adequadamente o conteúdo
de uma URL específica. Eventualmente, esta URL pode conter códigos maliciosos incluído por um 
Cracker e o mesmo ser executado. 

A conseqüência deste ataque pode resultar na exploração da ingenuidade humana, ou seja, o 
Cracker poderá clonar o site no Unibanco e enviar por e-mail uma mensagem informando aos 
correntistas acessarem o link http://www.unibanco.com.br/?redir=http://www.uniibanco.com.br. 
Podemos analisar que o site http://www.uniibanco.com.br não existe, mas poderia ser explorado
por um Cracker.

A utilização desta técnica requer condições específicas, por exemplo, que o atacante conheca
de antemão quais sites são considerados confiáveis pelo usuário ou que os cookies do site 
contenham informações sigilosas que possam ser lidas e exploradas, o que se vê fortemente 
dificultado se o usuário seguir as práticas de segurança recomendadas.

Para testar a técnica, acesse: http://www.unibanco.com.br/?redir=http://www.itau.com.br/indexIE.htm

Neste exemplo, estamos acessando o site do Unibanco e redirecionando para o site do banco Itaú. 
A técnica pode ser feita em qualquer outro site, basta remover o link do banco Itaú e colocar
(caminho absoluto) o link de outro site.

Autor: Denny Roger 
                 
----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L