Een jongen van 16 jaar uit Nederland heeft een crosssite scripting lek gevonden in Hotmail. Het lek is een week geleden gemeld aan Microsoft maar tot op heden nog niet gedicht. Gisteren wisten we ook al te melden dat Microsoft het af en toe niet zo serieus neemt met lekken.
Volgens de jonge ontdekker is het mogelijk om een link te maken naar een pagina waar de code staat die ervoor zorgt dat de cookie die Hotmail gebruikt om je login sessie te valideren bij de hacker uit komt. Met deze cookie kan je een login sessie simuleren en inloggen als de gebruiker van wie je de cookie hebt onderschept. Zodra je eenmaal bent ingelogd kan je alles doen wat een normale gebruiker ook kan met Hotmail.
Het lek is op 27 Juni gemeld aan Microsoft en deze heeft verzocht het lek niet openbaar te maken zodat ze de tijd hebben het lek te dichten. Alleen ze moeten nu echt op gaan schieten bij Microsoft. Want het enige wat je moet doen is dit lezen, even puzzelen en je kan aan de slag met iemand anders zijn hotmailgegevens….
1 dag geleden
