[新聞]雅虎HotJobs網站發現跨站腳本攻擊安全漏洞

看板AntiVirus (防毒)作者nd (Kevin)時間17年前 (2008/10/28 13:19)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串1/1

http://big5.ce.cn/cysc/tech/07hlw/guoji/200810/28/t20081028_17203993.shtml 互聯網搜索公司Netcraft的工具條檢測到雅虎網站有一個跨站腳本安全漏洞。利用這個安全漏洞能夠竊取身份識別cookies。 Netcraft公司的PaulMutton本週一在博客中說，這個安全漏洞存在於雅虎HotJobs搜索引擎網站。駭客在這個網站上嵌入了惡意的t代碼。 Mutton說，這個腳本竊取發送到雅虎網站域名的身份識別cookies，然後把這些 cookies發送到美國的不同網站。駭客在那些網站蒐集這些竊取的身份識別細節資料。這種偷竊的證書能夠讓攻擊者訪問受害人的雅虎賬戶，包括雅虎郵件服務的賬戶。這個安全漏洞與今年早些時候影響雅虎其他網站的另一個安全漏洞類似。 Mutton說，訪問雅虎網站的惡意URL地址就足以使受害人成為攻擊者的獵物，讓攻擊者獲取受害訪問進程中的cookies，從而獲得訪問受害人雅虎郵件賬戶的許可權。攻擊者完成這個過程甚至都不需要輸入用戶名和秘密。攻擊者給受害人發送一個空白網頁，使受害人想不到自己的賬戶已經被攻破了。 Mutton指出，網站必須保護cookie值。Netcraft已經向雅虎通報了這個安全漏洞。本週一沒有找到雅虎發言人對此發表評論。 ---- 原始消息是國外網站: http://tinyurl.com/5vvaq6 Update 2008-10-27: Yahoo has informed us that they fixed the cross-site scripting vulnerability on hotjobs.yahoo.com late last night. 意思是Yahoo後來有修復這個網頁上的問題了。 -- ─┬─╭─╮ ╭╮ ╭─ ★ │ │ │ ├─╮├─ ★ http://www.wretch.cc/album/kevin0527 ★ ╰─╰─╯ ╰─╯╰── ★ ★ ╭─╮╭─╮╭─╮┬─ ．╭─╮╮ ╭┬─┌─╮ ★ │ │ ││ ││ ││ ││ │├─│ │ ╰─╯╰─╯╰ ╯╰─ ╰╰ ╯╰─╯╰─┴─╯ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 59.104.34.122