-
-
[转载] 星巴克官网曝严重漏洞 会员账户存盗窃风险
-
发表于: 2015-9-21 10:21 1783
-
新闻链接:http://netsecurity.51cto.com/art/201509/491891.htm
新闻时间:2015-09-20 21:02
新闻正文:
星巴克网站多枚高危漏洞
星巴克拥有数百万的注册用户,他们在账户填写了自己的信用卡信息,而新发现的漏洞可能导致这些信息的泄露。
埃及的独立安全研究员Mohamed M.表示,他在星巴克上发现了三个严重漏洞。黑客可以通过利用其中简单的点击劫持漏洞,获取受害用户账号的权限。
这三个漏洞分别是:
远程代码执行
远程文件包含(钓鱼攻击)
CSRF(跨站请求伪造)
漏洞描述
远程文件包含
黑客可以将任意地址的文件注入到该目标页面,其中包含源代码解析执行之类的攻击。
WEB服务器的远程代码执行
在客户端存在远程代码执行,黑客可以执行如XSS等攻击。
通过钓鱼攻击可以进行数据窃取和操作,比如黑客可以窃取你在星巴克网站存储的信用卡信息。
使用CSRF劫持星巴克账户
黑客利用CSRF跨站请求伪造攻击,让一个合法用户代他们发起攻击,他们可以:
说服人们点击他们的HTML页面。
往目标站点插入任意HTML页面
在这种情况下,攻击者可以用CSRF诱骗用户点击URL,在不经意中更改存储的账户信息和密码。黑客可以劫持受害者的账户、删除帐户,或者改变受害者绑定的邮件地址。
视频演示地址:https://www.youtube.com/watch?v=IjnHdcJi7n0
新闻时间:2015-09-20 21:02
新闻正文:
星巴克网站多枚高危漏洞
星巴克拥有数百万的注册用户,他们在账户填写了自己的信用卡信息,而新发现的漏洞可能导致这些信息的泄露。
埃及的独立安全研究员Mohamed M.表示,他在星巴克上发现了三个严重漏洞。黑客可以通过利用其中简单的点击劫持漏洞,获取受害用户账号的权限。
这三个漏洞分别是:
远程代码执行
远程文件包含(钓鱼攻击)
CSRF(跨站请求伪造)
漏洞描述
远程文件包含
黑客可以将任意地址的文件注入到该目标页面,其中包含源代码解析执行之类的攻击。
WEB服务器的远程代码执行
在客户端存在远程代码执行,黑客可以执行如XSS等攻击。
通过钓鱼攻击可以进行数据窃取和操作,比如黑客可以窃取你在星巴克网站存储的信用卡信息。
使用CSRF劫持星巴克账户
黑客利用CSRF跨站请求伪造攻击,让一个合法用户代他们发起攻击,他们可以:
说服人们点击他们的HTML页面。
往目标站点插入任意HTML页面
在这种情况下,攻击者可以用CSRF诱骗用户点击URL,在不经意中更改存储的账户信息和密码。黑客可以劫持受害者的账户、删除帐户,或者改变受害者绑定的邮件地址。
视频演示地址:https://www.youtube.com/watch?v=IjnHdcJi7n0
赞赏
看原图
赞赏
雪币:
留言: