domingo, 1 de dezembro de 2013

Vulnerabilidade em websites Ruby on Rails!



Desde o mes de setembro G.S. McNamara o 'Security Research', afirmou que algumas versões de Ruby on Rails, possui várias falhas como o Roubo de Sessão (Steal Session).
A vulnerabilidade é devido ao uso de CookieStore, que contém a hash da sessão do usuário no navegador web com uma cookie. Contudo, depois da criação de uma nova cookie, a antiga ainda o permanence válida, o que significa que pode ser utilizada para sequestrar contas de usuários.
Isso é chamado de fraco Expiração Sessão insuficiente. McNamara adverte que este tipo de falha é particularmente perigoso nos websites que utilizam SSL.

"O atacante pode guardar a cookie cifrada e enviar-la ao servidor para iniciar a sessão em nome da vitíma, sem ter que ler o conteúdo dela" - McNamara (Security Research)
O mesmo ainda pública uma lista de sites vulneráveis, veja no link abaixo:

Nenhum comentário:

Postar um comentário