This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

이 700 달러를 판매하는 해커는 이용이 탈취 야후 이메일 계정

Filed Under: Data loss, Featured, Malware, Security threats, Vulnerability

For sale sign, courtesy of Shutterstock 해커는 공격자가 쿠키를 훔쳐 계정을 하이재킹 할 수있는 크로스 사이트 스크립팅 (XSS) 취약점을 활용 할 수 있습니다 야후 메일에 대한 700 달러 제로 데이 익스플로잇을 판매하고 있습니다.

핸들 TheHell으로가는 해커는 Darkode, 전용 지하 사이버 범죄 시장에서 공격을 홍보 할 동영상을 만들었습니다.

동영상에서는, 그 보안 블로거 브라이언 Krebs는 복제와 YouTube에 게시 , TheHell 피해자의 계정에 액세스하는 방법을 보여줍니다.

첫째, 공격자는 악의적으로 제작 된 링크를 클릭으로 피해자를 유인해야합니다.

비디오에 따르면, 한 번 피해자는 링크, 그의 쿠키 로거 기록을 엽니 다. 피해자는 야후 이메일 페이지로 돌아 리디렉션됩니다. 공격자는 의지에서 피해자의 검색 세션을 리디렉션 할 수 있습니다.

가 훔친 쿠키, 비디오 청구 등을 대체 로거 쿠키는 공격자가 탈취 야후 이메일 계정에 로그인 할 수 있습니다.

해커의 판매 피치는 익스플로잇은 모든 브라우저에서 작동 것을 약속 공격자가 IE 또는 크롬 XSS 필터를 우회 할 필요가 없습니다, 그리고 가격 흥정입니다

.. "내가 모든 브라우저에서 야후 이메일 쿠키와 작품을 훔쳐 야후 저장 XSS을 파는거야 그리고 그 자체 그러지로는 XSS를 저장하기 때문에이 필터 IE 또는 크롬 XSS를 우회 할 필요는 없습니다 가격은 주변에 이러한 공격을위한 것이 1천1백달러입니다 - 1천5백달러, 나는 700 달러를 위해 여기를 제공하는 동안. 너랑 내가 곧 패치하지 않으 만 신뢰할 수있는 사람에게 팔 거예요! "

Krebs가 있습니다 야후 경고 가 보안 문제에 대응 있다는 말했어.

보안 구멍을 고정하는 것은 간단합니다, 야후는 말했다,하지만를 찾는 것은 전혀 다른 문제입니다.

불행하게도, 동영상을 야후가 공격을 실행 yahoo.com URL을 알아낼 수 있도록 귀중한 몇 가지 힌트를 준, 보안 람세스 마르티네스의 야후 이사 Krebs에게 :

"그게 쉽게 해결 대부분의 XSS는 간단한 코드 변경에 의해 수정 아르 .... 일단 우리가 우리가 새로운 코드가 최대 몇 시간에 배치 할 수 있습니다 저작권을 침해하는 URL을 알아낼."

만약 당신이 읽을 때에 의해 결함이 해결되었습니다 것입니다.

XSS 결함은 오픈 웹 응용 프로그램 보안 프로젝트의 (에 게재, 다양 OWASP의 10 대 응용 보안 위험의) 목록입니다.

Yahoo Xssed.com , 게시물이 XSS 공격을보고있는 사이트, 야후 페이지에 발견 된 XSS 결함의 많은 다른 사례가 있습니다.

OWASP는 설명에 따라 응용 프로그램이 신뢰할 수없는 데이터를 소요 제대로 확인하거나 인코딩없이 브라우저로 보낼 때, XSS 결함이 생겼어요. 취약성은 공격자가 다음 사용자 세션을 하이재킹 피해자의 브라우저에서 스크립트, 외관을 더럽 히다 웹 사이트를 실행하거나 악성 사이트로 사용자를 리디렉션 할 수 있습니다.

OWASP이 제공 컨닝 시트 XSS 결함뿐만 아니라, 예방하는 방법에 대한 다른 리소스를 XSS 결함에 대한 코드와 테스트를 검토하는 방법에 있습니다.

사용자 끝에서 Krebs 노트로이 아직 우리가 예상하지 못한 이메일에있는 링크 또는 우리가 모르는 사용자의 클릭 할 때 신중하게 행동하길 바래요하는 또 다른 좋은 신호입니다.


판매 기호에 대한 Shutterstock의, 예의 </ 하위

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

I've been writing about technology, careers, science and health since 1995. I rose to the lofty heights of Executive Editor for eWEEK, popped out with the 2008 crash, joined the freelancer economy, and am still writing for my beloved peeps at places like Sophos's Naked Security, CIO Mag, ComputerWorld, PC Mag, IT Expert Voice, Software Quality Connection, Time, and the US and British editions of HP's Input/Output. I respond to cash and spicy sites, so don't be shy.