Lỗi chiếm đoạt phiên làm việc Squirrelmail

Tác giả admin+, T.Tư 13, 2011, 12:23:17 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 3 Khách đang xem chủ đề.

Lỗi chiếm đoạt phiên làm việc Squirrelmail


1. Các phiên bản bị ảnh hưởng

Các phiên bản Squirrelmail 1.4.15 trở về trước bị ảnh hưởng bởi lỗi này.

2. Giới thiệu

Hanno Boeck (   Đăng nhập để xem liên kết) đã phát hiện ra một lỗi bảo mật của Squirrelmail. Lỗi này cho phép kẻ tấn công có thể chiếm đoạt phiên làm việc của người dùng trên hệ thống Squirrelmail.


3. Mô tả

Khi thiết lập ứng dụng web trên một domain sử dụng SSL, mọi thông tin sẽ được mã hóa và truyền tải bằng HTTPS. Cookie là một phần của ứng dụng web, thường được dùng để lưu thông tin về phiên làm việc lẽ ra cũng phải được thiết lập thuộc tính bảo mật. Nếu không làm vậy, khi truy nhập bằng HTTP vào cùng domain với ứng dụng web, những cookie này sẽ được truyền tải mà không mã hóa. Bất kỳ ai có khả năng nghe lén thông tin trên đường truyền có thể bắt được và chiếm đoạt phiên làm việc của người dùng trên ứng dụng web.

4. Ảnh hưởng

Bị chiếm đoạt phiên làm việc của người dùng Squirrelmail.

5. Giải pháp

Lỗi này đã được xử lý trong phiên bản thử nghiệm Squirrelmail 1.5 nhưng phiên bản này vẫn chưa được phát hành chính thức.