This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

القراصنة بيع 700 $ استغلال ذلك حسابات البريد الإلكتروني ياهو يخطف

Filed Under: Data loss, Featured, Malware, Security threats, Vulnerability

For sale sign, courtesy of Shutterstock وقال القراصنة هو بيع 700 $ اليوم صفر لاستغلال بريد ياهو تسمح لمهاجم النفوذ على البرامج النصية عبر المواقع (XSS) من التعرض للسرقة الكوكيز وخطف الحسابات.

إنشاء القراصنة، الذين يذهب به TheHell مقبض، شريط فيديو لتسويق استغلال على Darkode، حصري السوق جرائم الإنترنت تحت الأرض.

في شريط الفيديو، الذي أمن المدون براين كريبس مستنسخة و نشر على يوتيوب ، TheHell يوضح كيفية الوصول إلى حساب الضحية.

الأول، أن يقوم المهاجم بحاجة إلى جذب ضحية في النقر على وصلة متطفل.

وفقا لشريط الفيديو، مرة واحدة في الضحية التي تصل يفتح، وسجلات المسجل الكوكيز له. يتم إعادة توجيه الضحية مرة أخرى إلى الصفحة إرسال ياهو. يمكن للمهاجم إعادة توجيه ثم الدورة الضحية تصفح في الإرادة.

ملفات تعريف الارتباط الكوكيز مسجل يستبدل أنه سرق، والمطالبات الفيديو، ويسمح للمهاجمين لتسجيل الدخول إلى حساب البريد الإلكتروني ياهو مخطوفة.

القراصنة مبيعات الملعب وعود بأن يعمل على استغلال جميع المتصفحات، لا يحتاج الى مهاجم لتجاوز IE كروم أو مرشحات XSS، وصفقة للسعر:

". انا بيع XSS ياهو ياهو تخزين رسائل البريد الإلكتروني التي تسرق الكوكيز ويعمل على جميع المتصفحات وأنت لا تحتاج إلى تجاوز IE XSS أو كروم مرشح لأنه فعل ذلك لأنه في حد ذاته تخزينها XSS الأسعار في جميع أنحاء لاستغلال هذه هو $ 1،100 - 1500 $، في حين أن أصليها هنا ل700 دولار. بيع فقط للأشخاص موثوق كوز أنا لا أريد أن يرقع ذلك قريبا! "

وقد كريبس نبهت ياهو ، الذي قال له أنه كان يرد على الضعف.

وقالت ياهو إصلاح ثغرة أمنية سوف تكون بسيطة، ولكن العثور عليه هو مسألة أخرى تماما.

وقال مدير الأمن ياهو رمسيس مارتينيز لسوء الحظ، أعطى إشارات الفيديو القليلة الثمينة للمساعدة في معرفة ياهو yahoo.com URL الذي يقوم بتشغيل استغلال، كريبس:

"من السهل تحديد، وتصحيح معظم XSS عن تغير رمز بسيط .... وبمجرد أن معرفة URL المخالف أننا يمكن أن يكون الرمز الجديد المنتشرة في بضع ساعات على الأكثر."

نأمل، في الوقت الذي تقرأ هذا، سيكون قد تم إصلاح الخلل.

العيوب XSS على نطاق واسع، تظهر في (تطبيق ويب مفتوح الأمن المشروع للOWASP قائمة) من أهم 10 تهديدات أمنية التطبيق.

Yahoo Xssed.com ، وهو الموقع الذي المشاركات هجمات XSS ذكرت، وأمثلة أخرى كثيرة من العيوب XSS التي تم العثور عليها في صفحات ياهو.

كما يفسر OWASP، XSS عيوب يحدث عند تطبيق البيانات غير موثوق بها يأخذ ويرسله إلى المتصفح من دون التحقق من صحة بشكل صحيح أو ترميز عليه. العيوب تمكين المهاجمين لتنفيذ البرامج النصية في متصفحات الضحية، الذي خطف ثم جلسات عمل المستخدم ومواقع الويب تشويه، أو إعادة توجيه المستخدمين إلى مواقع خبيثة.

OWASP يقدم هذا الغش ورقة حول كيفية منع العيوب XSS، فضلا عن الموارد الأخرى على كيفية مراجعة رمز واختبار لعيوب XSS.

على المستخدم النهائي، كما يلاحظ كريبس، وهذا هو تذكرة أخرى جيدة ليتعامل بحذر عندما يتعلق الأمر النقر على وصلات في رسائل البريد الإلكتروني نحن لا نتوقع من المستخدمين أو أننا لا نعرف.


للبيع علامة مجاملة، من Shutterstock </ الفرعي

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

I've been writing about technology, careers, science and health since 1995. I rose to the lofty heights of Executive Editor for eWEEK, popped out with the 2008 crash, joined the freelancer economy, and am still writing for my beloved peeps at places like Sophos's Naked Security, CIO Mag, ComputerWorld, PC Mag, IT Expert Voice, Software Quality Connection, Time, and the US and British editions of HP's Input/Output. I respond to cash and spicy sites, so don't be shy.