This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Hacker vende 700 dólares explorar e-mail que seqüestra as contas do Yahoo

Filed Under: Data loss, Featured, Malware, Security threats, Vulnerability

For sale sign, courtesy of Shutterstock Um hacker está vendendo um 700 dólares exploit dia zero para o Yahoo Mail, que permite a um atacante alavancar um cross-site scripting vulnerabilidade (XSS) para roubar cookies e sequestrar contas.

O hacker, que atende pelo TheHell punho, criou um vídeo para comercializar o ataque em Darkode, um mercado exclusivo cibercrime subterrâneo.

No vídeo, que a segurança Brian Krebs blogueiro reproduzido e publicado no YouTube , TheHell demonstra como acessar a conta da vítima.

Primeiro, o invasor precisa atrair a vítima a clicar em um link malicioso.

De acordo com o vídeo, uma vez que a vítima abre esse link, uma registos logger seus biscoitos. A vítima é redirecionado para a página de e-mail do Yahoo. O atacante pode redirecionar sessão de navegação da vítima à vontade.

Os cookies logger substitui os cookies que roubaram, as reivindicações de vídeo e permite que o invasor login na conta invadida Yahoo e-mail.

Campo do hacker vendas promete que o exploit funciona em todos os navegadores, não necessita de um atacante para ignorar o IE ou Chrome filtros XSS, e é uma pechincha para o preço:

.. "Estou vendendo xss Yahoo armazenados que roubar cookies e-mails do Yahoo e obras em todos os navegadores e você não precisa para ignorar o IE ou Chrome filtro XSS como fazer isso em si, porque ele é armazenado xss Preços em torno de tal façanha é de R $ 1.100 - US $ 1.500, enquanto que ofereço aqui por US $ 700. Vai vender apenas para pessoas de confiança porque eu não quero que ele seja corrigido em breve! "

Krebs tem alertado Yahoo , que lhe disse que estava respondendo à vulnerabilidade.

Corrigindo a falha de segurança será simples, disse o Yahoo, mas encontrá-lo é outra questão inteiramente.

Infelizmente, o vídeo deu preciosas algumas dicas para ajudar a Yahoo descobrir a URL yahoo.com que desencadeia a façanha, Yahoo Diretor de Segurança Ramsés Martinez disse Krebs:

"Corrigir é fácil, a maioria dos XSS são corrigidos por alteração de código simples .... Assim que descobrir a URL ofender podemos ter novo código implantado em algumas horas, no máximo."

Esperemos que, pelo tempo que você ler isto, a falha terá sido corrigido.

Falhas de XSS são comuns, mostrando-se no Open Web Application Security Project do ( OWASP lista) dos Top 10 riscos de segurança da aplicação.

Yahoo Xssed.com , um site que mensagens relatou ataques XSS, tem muitos outros exemplos de falhas de XSS que foram encontrados nas páginas do Yahoo.

Como explica OWASP, falhas XSS ocorrem quando um aplicativo usa dados não confiáveis ​​e os envia para um navegador sem a devida validação ou codificação-lo. As falhas permitem atacantes para executar scripts em navegadores vítima, que então seqüestrar sessões de usuários, web sites, desfigurar ou redirecionar um usuário para sites maliciosos.

OWASP oferece este cheat sheet sobre como prevenir falhas de XSS, bem como de outros recursos sobre a forma de revisar o código e teste para falhas de XSS.

Sobre o consumidor final, como observa Krebs, este é mais um bom lembrete para agir com cuidado quando se trata de clicar em links de e-mails não estamos esperando ou de usuários que não conhecemos.


Venda sinal de cortesia, do Shutterstock </ sub

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

I've been writing about technology, careers, science and health since 1995. I rose to the lofty heights of Executive Editor for eWEEK, popped out with the 2008 crash, joined the freelancer economy, and am still writing for my beloved peeps at places like Sophos's Naked Security, CIO Mag, ComputerWorld, PC Mag, IT Expert Voice, Software Quality Connection, Time, and the US and British editions of HP's Input/Output. I respond to cash and spicy sites, so don't be shy.