Message-ID: <001101c3c9ec$2862e320$3a2f6740@emea.cisco.com>
From: pjp at paulo-pereira.net (Paulo Pereira)
Subject: FW: Visa Security Update

Secure with VisaKristian,

this is no new exploit... This is just filling a url with spaces in such a
way that the user cannot see the rest of the url in the status bar.
User is:
www.visa.com%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%2
0%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%2
0%20%20%20%20%20%20%20%20%20%20%20%20%20%20
Password is:
UserSession=2f6q9uuu88312264trzzz55884495&usersoption=SecurityUpdate&StateLe
vel=GetFrom

And the request goes to: d159678.u26.planetnet.com/verified_by_visa.htm

Which if you now try gives a page with: " Account for domain cansilver.com
has been suspended ".

Paulo Pereira

<http://www.visa.com%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%2
0%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%2
0%20%20%20%20%20%20%20%20%20%20%20%20%20%20:UserSession=2f6q9uuu88312264trzz
z55884495&usersoption=SecurityUpdate&StateLevel=GetFrom@...9678.u26.planetne
t.com/verified_by_visa.htm>


----- Original Message -----
From: Kristian Hermansen
To: full-disclosure@...ts.netsys.com
Sent: Wednesday, 24 December, 2003 04:35
Subject: [Full-Disclosure] FW: Visa Security Update


I just got this one.  Looks like someone started using the recent exploits.
Not good for Visa ;-(


Kristian Hermansen
khermansen@...technology.com

Powered by blists - more mailing lists