Microsoft .NET Passport pažeidžiamumas
Aptiktas Microsoft .NET Passport pažeidžiamumas, kuris liečia ir Hotmail paštą (dar kažkas juo naudojasi?). Bet kas gali pakeisti bet kurio vartotojo slaptažodį ir tada pasinaudoti jo vartotojo sąskaita. Šiaip pažeidžiamumas gana juokingas – .NET serverio galima paprašyti pakeisti slaptažodį (adresu https://register.passport.net/emailpwdreset.srf?lc=1033&[email protected]&id=&cb=&[email protected]&rst=1), ir jis atsiųs nurodytu adresu ([email protected]) URL (panašų į http://register.passport.net/EmailPage.srf?EmailID=CD4DC30B34D9ABC6&URLNum=0&lc=1033), kuriuo nuėjus galima pasikeisti slaptažodį. Nuėjus tuo URL ir užpildžius formą, slaptažodis bus pakeistas neįvedus senojo slaptažodžio. Smagumynai. Plačiau apie tai SecurityFocus
Update: Atrodo Microsoft susigriebė. Na bent jau dabar vietoj šios klaidos gausite 404 Page not found. Ir dabar iš vis nebegalite pasikeisti slaptažodžio ;)