Microsoft .NET Passport pažeidžiamumas

Aptiktas Microsoft .NET Passport pažeidžiamumas, kuris liečia ir Hotmail paštą (dar kažkas juo naudojasi?). Bet kas gali pakeisti bet kurio vartotojo slaptažodį ir tada pasinaudoti jo vartotojo sąskaita. Šiaip pažeidžiamumas gana juokingas – .NET serverio galima paprašyti pakeisti slaptažodį (adresu https://register.passport.net/emailpwdreset.srf?lc=1033&em=auka@hotmail.com&id=&cb=&prefem=lauzhytojas@lauzhytojas.lt&rst=1), ir jis atsiųs nurodytu adresu (lauzhytojas@lauzhytojas.lt) URL (panašų į http://register.passport.net/EmailPage.srf?EmailID=CD4DC30B34D9ABC6&URLNum=0&lc=1033), kuriuo nuėjus galima pasikeisti slaptažodį. Nuėjus tuo URL ir užpildžius formą, slaptažodis bus pakeistas neįvedus senojo slaptažodžio. Smagumynai. Plačiau apie tai SecurityFocus

Update: Atrodo Microsoft susigriebė. Na bent jau dabar vietoj šios klaidos gausite 404 Page not found. Ir dabar iš vis nebegalite pasikeisti slaptažodžio ;)

2 Comments

  1. Kadangi esu priverstas dirbti interneto kavineje… tai ten visos sekretores blondines ir kiti nekompiuterastai pastoviai hotmaila arba yahoo tikrina… :)

  2. bet tai damn, kokie ten programeriai dirba.. kad tokios klaidos atrandomos..:/

Comments are closed.