Recuerdo la época del 2000 – 2006 donde podíamos tener el control absoluto de una cuenta de hotmail con tan solo su cookie, pues bien hoy en la actualidad no ha cambiado mucho el panorama, tan solo con la cookie de una sesión podemos tener control absoluto de una cuenta outlook o hotmail, pero como podemos demostrarlo? como logramos hacerlo? pues bien este blog NO TE VA A ENSEÑAR a robar una cuenta, como pienses y hagas con lo que aprendes es cuestión tuya, pero aquí demostrare la falla de seguridad que maneja microsoft.
Para esta demostración usaremos:
- Firefox
- Cookie exporter
- Cookie importer
Pues bien que hacemos con esto? ya con firefox y los complementos instalados entramos a outlook y damos click en cookie exporter, guardamos el cookie y luego damos logout, abrimos una nueva pestaña y damos click en cookie importer nos dirá que se han exportado X cookies, escribimos en la barra url y ponemos outlook.com, como verán ingresamos directamente al correo..
Algun atacante podria espiar la red en busca de cookies, si pero si usamos ssl? vamos, no es tan difícil usar un poco la imaginación y herramientas que nos hagan un ataque MITM.
Aquí dejo la cookie de ejemplo con una cuenta recien creada, pueden usarla de acuerdo a su gusto.