martes, 14 de marzo de 2017

Sniffly2.- Un paso mas para CVE-2016-1617

CVE-2016-1617 (Sniffly) fue una vulnerabilidad muy divertida del año pasado ya que utilizaba el HTTP Strict Transport Security y la Content Security Policy para filtrar todo el historial de un usuario de Firefox o Chrome. Esta vulnerabilidad ya estaba solucionada pero, [diracdeltas] he ha dado una vuelta de tuerca mas y ha presentado Sniffly2.


Sniffly2 es una variante de Sniffly que abusa de los encabezados HTTP Strict Transport Security y esta vez, del Performance Timing API para ver el historial de navegación de los navegadores basados en Chromium. Aunque ya no afecta a Firefox y versiones móviles de Chrome aunque podéis probar la vulnerabilidad desde el siguiente enlace: 
Muchas mas información acerca la vulnerabilidad: 
Sed Buenos con esto 0;) 

No hay comentarios:

Publicar un comentario