Bienvenido a Webpanto

Menú Principal
Principal
Antivirus
Archivo de Noticias
Descargas
Fondos de Pantalla
Juegos
Manuales
Programación
Top Webpanto
Tópicos
Trucos de Juegos
Videos
Servicios
Test de Conexión
Ultimos Virus
Busca en tu Web

Buscar en la Web
Noticias en tu Web
Quienes Somos
Publicidad
Agregar a Favoritos
Recomiéndanos
Enlázanos
Contactar
FAQ Webpanto
Publicidad
Languages
Selecciona Idioma de la Interfaz:
Webs Amigas
Hard-h2o Modding
Solotutoriales
TechSpot
Informatica
Muestras Gratis
PortalHacker.net
ManualesGratis
Elhacker
Aclantis
Segu Info
Programar
OfertiLandia
Juegos Gratis
BuscaHost
Videos Gratis Humor
Traficantes de Hardware
Cursos y tutoriales gratis
Caratulas
 Google Adsense vulnerable a ataque 'phishing'
Enviado el Sábado, 15 de enero a las 06:41:23 por Chus

Seguridad Anonimo nos cuenta:

"Google Adsense es un dispositivo publicitario perteneciente al popular buscador Google.

Para que el dueño de una página pueda ofrecer este servicio, es necesario que se registre como usuario a través de https://www.google.com/adsense.

Su página, aun protegida por SSL, sufre de una vulnerabilidad que puede ser aprovechada para llevar a cabo ataques de tipo phishing de una forma ridículamente sencilla.

Google Adsense permite a los dueños de las páginas mostrar en sus webs publicidad no invasiva relacionada con el perfil del visitante y proporcionada por Google. Es una vía inteligente de rentabilizar las visitas, pues los usuarios prefieren la publicidad que no molesta y además se adecua a sus necesidades o inquietudes.

Los responsables de las páginas que muestren este tipo de anuncios, deben darse de alta como usuarios en https://www.google.com/adsense, una página que, aun protegida por el protocolo SSL (se aprecia en la "s" de https) que se supone garantiza el cifrado de los datos, sufre de un problema de validación de páginas no existentes. Esto brinda la oportunidad a cualquiera de inyectar código en la URL que simule una página válida y desviar los datos al servidor de un tercero de una forma trivial.

La víctima burlada apenas podrá distinguir nada extraño en la barra del navegador puesto que en ella aparecerá la dirección legítima https://www.google.com/adsense y si comprueba el certificado de seguridad será completamente válido porque, a diferencia de otros ataques de este tipo, la página en realidad es interpretada por el propio servidor real de Google.

El fallo es un típico problema de "Cross Site Scripting" que permite la interpretación de código HTML en la barra de direcciones del navegador y ha sido descubierto por Hugo Vázquez de Infohacking, quien ya advirtiera sobre diversos fallos de seguridad de este tipo en el sistema de reservas de vuelos de Iberia, los proxy-caché de Telefónica y otras importantes organizaciones.

Más información y referencias:

(Yet another) Google Cross Site Scripting..SSL enabled customer site "AdSense"
http://www.infohacking.com/google/index.html

Sergio de los Santos
Miembro de la Comisión de Seguridad de la Asociación de Internautas
Redactor de Hack Paso a Paso: http://www.megamultimedia.com/arroba/

"


 
Temas Relacionados
· Más Acerca de Seguridad
· Noticias de
Noticia más leída sobre Seguridad:
PEST Remote Keylogger: nuestros datos al descubierto
Votos del Artículo
Puntuación Promedio: 3
Votos: 4


Por favor tómate un segundo y vota por este artículo:

Excelente
Muy Bueno
Bueno
Regular
Malo
Opciones

 Versión Imprimible Versión Imprimible

 Enviar a un Amigo Enviar a un Amigo

Fluor y Beldan © copyleft 2003, Webpanto.com

Expresiones del Mundo | 3000 Fotos | Economia Diaria | Cocina Sencilla | Foro Cocina Sencilla | Portal del Rock | Vuelos Casi Gratis | Rockcore | Libroos | Noticias de ADSL | Buxcar | Top-Programas | Cocina con Recetas | Guias y Trucos | Coches Km0 | Valencia Central | Solo para Ella | Juegos para Flash | Juegos Jugon

PHP-Nuke Copyright © 2004 by Francisco Burzi. This is free software, and you may redistribute it under the GPL. PHP-Nuke comes with absolutely no warranty, for details, see the license.
Página Generada en: 0.90 Segundos