Sebuah posting di milw0rm.com oleh gammarays menurut saya sangat menarik. Dalam video proof of conceptnya terlihat dia bisa membangkitkan authentication cookie untuk masuk ke yahoo sebagai username siapapun. Bagaimana dia melakukannya?
Saya telah membaca papernya dan berdiskusi dengannya via email. Karena sifatnya yang highly critical beberapa hal penting tidak dia disclose, dalam hal ini saya setuju karena saya juga punya account yahoo, tentu saja saya tidak ingin orang lain membaca email saya 
not sealed
Dengan maksud untuk mencegah Phising attack, Yahoo membuat fitur segel di halaman loginnya. Segel di sini maksudnya adalah gambar unik yang muncul di halaman login. Gambar ini hanya unik untuk PC/komputer tertentu saja, bukan melekat pada yahoo id kita. Jadi kalau kita pindah komputer, segelnya tentu tidak ikut pindah.
Comments