Twitter permite que la contraseña se resuelva de una cookie robada. ¿Es eso un problema? [cerrado]

0

Recientemente descubrí y reporté una vulnerabilidad de seguridad en Twitter:

Apesardemicreenciadequeelinformeesrealmenteválido,merespondieronconlasiguienterespuesta:

Porloquepuedodecir,esteingenierodeseguridadestáhablandodelaproteccióncontraelsecuestrodecookies.Sinembargo,esanoesmipreocupaciónenabsoluto.MipreocupaciónesquepuedestomarelcontroldeunacuentadeTwitterdeunusuariosiemprequetengaselvalordesucookieauth_token.

No,noreclamoqueTwittertengaunafalladeseguridadquedejeexpuestoslosvaloresconfidencialesdelascookies.Haymilesdeformasenqueunacookiepuedesersecuestrada,yesoyaponealavíctima-usuarioenunaposiciónpeligrosa.Sinembargo,puederestablecersucontraseña,etc.encualquiermomento.Perocuandoelatacantepuedeforzarsuaccesobruscamenteparaobtenerlacontraseñadelusuarioquehainiciadosesión,porloquetomaelcontroltotaldelacuenta(cambiodecorreoelectrónico,contraseñas,etc.),lavíctimanotieneningunaposibilidaddeobtenersucuenta.atrás.

Inclusohice un video para demostrar lo fácil que es el ataque.

¿Crees que esta vulnerabilidad es válida / crítica? ¿Soy o el ingeniero de seguridad de Twitter "equivocado"?

    
pregunta Coto TheArcher 19.03.2017 - 15:16
fuente

2 respuestas

2

Su respuesta es perfectamente válida. Están diciendo que lo que encontraste es el comportamiento deseado. Hay un intercambio de usabilidad con las características de seguridad y dicen que no van a implementar una aquí porque las posibilidades de que una cookie sea robada es poco probable debido a las protecciones que tienen.

Señalan que el atacante debe haber infectado la computadora de los usuarios para robar la cookie, en cuyo caso ya tienen su contraseña.

Hay una cosa con la que dijeron que yo discrepo, pero en realidad es para su beneficio.

Describen que la cookie puede ser robada usando XSS si existe una vulnerabilidad pero no es cierto porque su cookie es solo de http. Por lo tanto, su sitio es en realidad más seguro de lo que dicen.

Para el futuro, es mejor mantener su pregunta genérica porque este no es realmente un buen lugar para revelar algo que haya encontrado en el sitio web de otra persona.

    
respondido por el joe 20.03.2017 - 01:05
fuente
-1

Usted tiene razón. Twitter podría hacer más para proteger las cuentas después de que se registra un atacante. Google que conozco tiene personal de ingeniería dedicado para lidiar con este escenario y minimizar el daño después de que la cookie o incluso las credenciales hayan sido violadas. No sé qué hace Twitter, pueden tener mecanismos para detectar comportamientos potencialmente malintencionados por parte de un usuario autenticado y similares. Si no lo hacen, deberían tener una perspectiva amplia del problema, no solo el forzado de contraseñas. El ingeniero de seguridad responde. Si el escenario principal para las cookies comprometidas es controlar el dispositivo del usuario final, no hay un final para lo que puede hacer el atacante. Incluyendo, por ejemplo, robar la contraseña del dispositivo en lugar de hacerlo por fuerza bruta.

    
respondido por el Meir Maor 19.03.2017 - 17:26
fuente

Lea otras preguntas en las etiquetas