HOTMAIL有关COOKIE的最新漏洞发布时间:1999-10-23 更新时间:1999-10-23 严重程度:低 威胁程度:其它 错误类型:配置错误 利用方式:客户机模式 受影响系统 Misc详细描述 在使用NETSCAPE时,HOTMAIL邮件服务系统中的SIGN-OUT服务存在一个漏洞,通过对NETSCAPE中"Accept only cookies that get sent back to the originating server"的设置的改变,下一个用户(同一机器)可以完全访问上一个用户的MAILBOX。不过认证的COOKIE是临时的,当浏览器关闭时将删除。 测试代码 下面是有关此漏洞的测试: 1,打开netscape的COOKIE设置,如:"Accept only cookies that get sent back to the originating server" 2,登录任何HOTMAIL帐号 3,选择HOTMAIL的“SIGN-OUT” 4,当你“SIGN-OUT”后从显示MSN的页面中选择HOTMAIL连接。 5,你有进入你的INBOX. 解决方案 1,把COOKIE设置为"Accept all cookies" 2,当浏览HOTMAIL以后关闭浏览器 相关信息 |
