Twitter consente di risolvere la password da un cookie rubato. È un problema? [chiuso]

0

Recentemente ho scoperto e segnalato una vulnerabilità alla sicurezza di Twitter:

Nonostantelamiaconvinzionecheilrapportosiaeffettivamentevalido,mihannorispostoconlaseguenterisposta:

Perquantopossodire,questoingegneredellasicurezzastaparlandodiprotezionecontroildirottamentodeicookie.Comunquenonèlamiapreoccupazione.LamiapreoccupazioneèchetupossaprenderecompletamenteincaricounaccountTwitterdiunutente,purchétuabbiailvaloredelsuocookieauth_token.

No,nonpretendocheTwitterabbiaundifettodisicurezza,lasciandoespostiivalorideicookiesensibili.Cisonounsaccodimodiincuiuncookiepuòesseredirottato,equestomettegiàl'utentevittimainunaposizionepericolosa.Tuttavia,puòreimpostarelasuapasswordecc.Inqualsiasimomento.Maquandol'hackerèingradodiforzarelasuastradaperottenerelapassworddell'utentechehaeffettuatoillogin,quindiassumendoilpienocontrollodell'account(cambiodie-mail,password,ecc.),Lavittimanonhaassolutamentealcunapossibilitàdiottenereilsuoaccountindietro.

Hopersinorealizzato un video per dimostrare quanto sia facile l'attacco.

Pensi che questa vulnerabilità sia valida / critica? Sono io o il responsabile della sicurezza di Twitter "sbagliato"?

    
posta Coto TheArcher 19.03.2017 - 15:16
fonte

2 risposte

2

La loro risposta è perfettamente valida. Stanno dicendo che quello che hai trovato è il comportamento previsto. Esiste un compromesso di usabilità con le caratteristiche di sicurezza e stanno dicendo che non ne implementeranno uno qui perché le probabilità che un cookie venga rubato è improbabile a causa delle protezioni che hanno in atto.

Sottolineano che l'autore dell'attacco deve aver infettato il computer degli utenti praticamente per rubare il cookie, nel qual caso hanno già la loro password.

C'è una cosa che hanno detto che sono in discussione, ma che è in realtà a loro vantaggio.

Descrivono che il cookie può essere rubato usando XSS se è presente una vulnerabilità, ma ciò non è vero perché il loro cookie è http-only. Quindi il loro sito è in realtà più sicuro di quanto affermano.

Per il futuro, è meglio mantenere la tua domanda generica perché questo non è davvero un buon posto per rivelare qualcosa che hai trovato sul sito di qualcun altro.

    
risposta data 20.03.2017 - 01:05
fonte
-1

Sei corretto Twitter potrebbe fare di più per proteggere gli account dopo che un utente malintenzionato è registrato. Google, che conosco, ha dedicato uno staff tecnico per affrontare questo scenario e ridurre al minimo il danno dopo che il cookie o anche le credenziali sono state violate. Non so cosa faccia Twitter, potrebbero avere meccanismi per rilevare un comportamento potenzialmente malevolo da parte di un utente autenticato e, ad esempio, se non dovrebbero, e prendere una prospettiva ampia sul problema, non solo forzatura brute password. L'ingegnere della sicurezza risponde. Se lo scenario principale per i cookie compromessi è il controllo del dispositivo dell'utente finale, non c'è fine a ciò che l'hacker può fare. Compreso, ad esempio, il furto della password dal dispositivo piuttosto che dalla forza bruta.

    
risposta data 19.03.2017 - 17:26
fonte

Leggi altre domande sui tag