新闻链接：http://www.seehand.com/news/237.html
新闻时间：2014/12/17  12:50
新闻正文：
在中国电子商务巨头阿里巴巴旗下的大宗货物批发卖场“速卖通”上，发现的一个安全漏洞，可能已经被黑客开发利用来劫持卖家账户。还有另外一个漏洞，可能已经被用来黑客劫持买家的详细信息。

以色列安全公司AppSec实验室的BarakTawily发现了阿里巴巴速卖通的一个跨站点脚本（XSS）安全漏洞，速卖通可以使买家发送信息给供应商。据安全专家Barak Tawily称，攻击者可以将恶意软件代码植入信息内容，当供应商打开该信息，恶意软件就可以通过供应商的浏览器自动运行。

恶意攻击者可以利用钓鱼式网络攻击的方法窃取卖家的会话账户，并且冒用受害者的名义执行操作。研究人员称，技术老练的攻击者可以接管用户的阿里巴巴速卖通店铺。

速卖通的另一个安全漏洞，截止至2013年7月使得超过200多个国家和地区的770万用户受到攻击影响，被以色列的安全公司Cybermoon的Amitay Dan发现。安全专家Amitay Dan发现自己仅仅通过修改URL中的一个参数值，就可以访问阿里巴巴速卖通买家的物流的详细信息，包括姓名、地址和交易信息。

这个容易开发利用的漏洞被称为不安全的直接对象引用，在本例中，它可以被用来窃取在该网站下订单的用户的详细信息。

Dan和Tawily都在该网站购物时发现了这个漏洞。以色列的第10电视台，第一次报道了阿里巴巴速卖通安全漏洞的问题，指出研究人员最初在通知阿里巴巴这个事件时遇到了一些困难。

阿里巴巴表示已经对这两个漏洞进行了处理，他们称之为“潜在的安全漏洞”。

阿里巴巴的官方代表在一封电子邮件声明中表示，我们意识到了这个问题，并且立即采取措施来评估和补救现在的情况。我们已经修复了潜在的漏洞，并将继续密切关注事态进展。客户的安全和隐私是我们最优先考虑的事情，我们将竭尽所能继续确保我们平台安全的交易环境。

今年8月，Trend Micro趋势科技公司的研究人员发现了阿里巴巴旗下的在线支付平台Alipay支付宝的支付系统软件开发工具包的一个安全漏洞。这个漏洞可能已经被用来启动针对使用安卓设备进行支付的用户的钓鱼式网络攻击。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)