possible bug in outloock web access

20/01/2004 - 15:41 por aekroft | Informe spam
he encontrado una falla de seguridad, en mi opinion, en el microsoft outlook web access que te permite robarte la password del usuario que ha iniciado session inclusive habiendo cerrado el internet explorer, hasta donde he podido observar se explota localmente la herramienta a usar simplemente un buen revelador de asteriscos *********** pues con simplemente cambiar el nombre del usuario que aparece en la barra de direcciones por el de cualquier otro usuario existente en la base de datos del servidor de exchange te muestra en pantalla la ventana de autenticacioncon los asteriscos correspondientes al usuario
cualquier tipo de informacion respecto a esto por favor envienme un corre
gracias
 

Leer las respuestas

#1 Pedro Fraile [MS]
22/01/2004 - 11:09 | Informe spam
Hola,
la verdad es que no tiene mucho sentido lo que explicas, o al menos carece
de detalle para determinar si es un problema o no de seguridad, para ello
tienes que concretar más en detalle cual es el problema.
¿Qué versión de OWA es? ¿Qué navegador estás utilizando? ¿Cómo lo podemos
reproducir?
Además yo lo he tratado de probar con OWA de Exchange 2003 y funciona bien y
no te "cachea" información.

Por favor, si quieres que investiguemos proporciónanos más detalle.

Saludos,

Pedro Fraile [MS]



"aekroft" escribió en el mensaje
news:
he encontrado una falla de seguridad, en mi opinion, en el microsoft


outlook web access que te permite robarte la password del usuario que ha
iniciado session inclusive habiendo cerrado el internet explorer, hasta
donde he podido observar se explota localmente la herramienta a usar
simplemente un buen revelador de asteriscos *********** pues con simplemente
cambiar el nombre del usuario que aparece en la barra de direcciones por el
de cualquier otro usuario existente en la base de datos del servidor de
exchange te muestra en pantalla la ventana de autenticacioncon los
asteriscos correspondientes al usuario.
cualquier tipo de informacion respecto a esto por favor envienme un correo
gracias

Preguntas similares