Samsung sitio de la tienda parches para la cuenta pública de adquisición bug

Samsung ha fijado una vulnerabilidad en al menos uno de sus sitios Samsung.com que permitieron a los atacantes tomar más de la cuenta de un objetivo mediante la creación de un nombre de usuario lookalike. La vulnerabilidad,reportado por el investigador de seguridad Mateo Bryant(Que va por el nombre de hackers \ "\ obligatoria"), hizo posible que alguien cree un nombre de usuario utilizando e-mail de una víctima con espacios finales adicionales. Si bien esto creó una cuenta separada, el atacante se autentica como usuario atacado cuando se va a otros subdominios dentro Samsung.com.

El error, causado por la forma en que las aplicaciones Web de Samsung podadas (o "depuran") caracteres finales adicionales fuera de la cuenta de las direcciones de correo electrónico, afectó a todos los subdominios Samsung.com 's. Pero según Bryant, Samsung ha sido arreglado el problema en su sitio-el comercio electrónico que tiene los datos de los usuarios más sensibles.

"Si su nombre de usuario era originalmente" admin@samsung.com '", Bryant escribió en un blog el día de hoy," después de visitar http://shop.us.samsung.com/ sería borrado de 'admin@samsung.com'. "Si bien la página web para la creación de nuevas cuentas evita la adición de espacios finales a los nombres de usuario a través de la validación de formularios, los espacios se pueden añadir usando una herramienta de intercepción de HTTP, como elTamper DataFirefox.

Leer 1 restantes párrafosComentarios