This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Хакер продажи $ 700, что захватывает использовать учетные записи электронной почты Yahoo

Filed Under: Data loss, Featured, Malware, Security threats, Vulnerability

For sale sign, courtesy of Shutterstock Хакер продает $ 700 нулевого дня эксплойт для Yahoo Mail, которая позволяет злоумышленнику рычаги межсайтового скриптинга (XSS) уязвимость, чтобы украсть печенье и захватить счетов.

Хакер, который идет за ручку TheHell, созданного видео на рынок подвиг на Darkode, эксклюзивный подпольный рынок киберпреступности.

В видео, которое безопасности блоггер Брайан Кребс воспроизводиться и размещены на YouTube , TheHell демонстрирует, как получить доступ к счету жертвы.

Во-первых, злоумышленник должен заманить жертву в нажав на вредоносные ссылки.

Согласно видео, когда жертва открывает эту ссылку, регистратор записывает свои куки. Жертва перенаправляется обратно на страницу электронной почты Yahoo. Злоумышленник может перенаправить сеанс просмотра жертвы на волю.

Печенье регистратор заменяет печенье он украл, видео претензии, и позволяет злоумышленнику войти в угнали учетной записи электронной почты Yahoo.

Продаж шаг хакер обещает, что эксплоит работает на всех браузерах, не требуют злоумышленнику обойти IE или Chrome XSS фильтров, а также является сделкой по цене:

.. "Я продаю Yahoo хранится XSS, которые крадут Yahoo электронной почты печенье и работает на всех браузерах и вам не нужно обходить IE или Chrome XSS-фильтр, как это сделать, потому что сама она хранится XSS цены вокруг такого подвига составляет $ 1,100 - $ 1500, в то время как я предлагаю это здесь за $ 700. Продам только доверенным людям Потому что я не хочу, чтобы это быть исправлена ​​в ближайшее время! "

Кребс предупредил Yahoo , который сказал ему, что это был ответ на уязвимость.

Крепление дыра в безопасности будет простым, Yahoo сказал, но найти это совсем другое дело.

К сожалению, видео дал несколько драгоценных советов, которые помогут Yahoo выяснить, yahoo.com URL, который запускает эксплойт, Yahoo директора по безопасности Рамзеса Мартинес сказал Кребс:

"Крепление легко, большинство XSS исправляется простым изменением кода .... Как только мы выясним, оскорбления URL мы можем иметь новый код развернуты в течение нескольких часов не более".

Будем надеяться, что к тому времени вы читаете это, недостаток будет исправлен.

XSS недостатки широко распространены, появляясь в (Open Web Application Security проекта OWASP в ) список Топ-10 рисков безопасности приложений.

Yahoo Xssed.com , сайт, который сообщил сообщения XSS-атак, есть много других примеров XSS недостатки, которые были обнаружены на страницах Yahoo.

Как OWASP объясняет, XSS недостатки произойдет, когда приложение занимает непроверенных данных и отправляет его в браузере без надлежащей проверки или кодирующей его. Недостатки позволяют злоумышленникам запускать скрипты в браузере жертвы, которые затем захватили сеансов пользователей, сайтов портить Интернете, или перенаправлять пользователей на вредоносные сайты.

OWASP предлагает эту шпаргалку о том, как предотвратить XSS недостатки, а также другие ресурсы о том, как просматривать код и тест на XSS недостатки.

На конечных пользователей, как отмечает Кребса, это еще один хороший напоминание осторожно, когда дело доходит до нажатия на ссылки в электронных письмах мы не ожидаем или от пользователей, мы не знаем.


Для продажи знак , любезно Shutterstock </ SUB

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

I've been writing about technology, careers, science and health since 1995. I rose to the lofty heights of Executive Editor for eWEEK, popped out with the 2008 crash, joined the freelancer economy, and am still writing for my beloved peeps at places like Sophos's Naked Security, CIO Mag, ComputerWorld, PC Mag, IT Expert Voice, Software Quality Connection, Time, and the US and British editions of HP's Input/Output. I respond to cash and spicy sites, so don't be shy.