Dar vieno analitiko svetainė

Petras Kudaras

Microsoft .NET Passport pažeidžiamumas

Aptiktas Microsoft .NET Passport pažeidžiamumas, kuris liečia ir Hotmail paštą (dar kažkas juo naudojasi?). Bet kas gali pakeisti bet kurio vartotojo slaptažodį ir tada pasinaudoti jo vartotojo sąskaita. Šiaip pažeidžiamumas gana juokingas – .NET serverio galima paprašyti pakeisti slaptažodį (adresu https://register.passport.net/emailpwdreset.srf?lc=1033&em=auka@hotmail.com&id=&cb=&prefem=lauzhytojas@lauzhytojas.lt&rst=1), ir jis atsiųs nurodytu adresu (lauzhytojas@lauzhytojas.lt) URL (panašų į http://register.passport.net/EmailPage.srf?EmailID=CD4DC30B34D9ABC6&URLNum=0&lc=1033), kuriuo nuėjus galima pasikeisti slaptažodį. Nuėjus tuo URL ir užpildžius formą, slaptažodis bus pakeistas neįvedus senojo slaptažodžio. Smagumynai. Plačiau apie tai SecurityFocus

Update: Atrodo Microsoft susigriebė. Na bent jau dabar vietoj šios klaidos gausite 404 Page not found. Ir dabar iš vis nebegalite pasikeisti slaptažodžio ;)