This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

黑客卖700美元利用劫持的雅虎电子邮件帐户

Filed Under: Data loss, Featured, Malware, Security threats, Vulnerability

For sale sign, courtesy of Shutterstock黑客是卖700元的零日漏洞,可以让攻击者利用一个跨站点脚本(XSS)漏洞窃取Cookie,劫持账户雅虎邮箱。

黑客,谁去的手柄TheHell,建立了一个视频市场的漏洞,一个独特的地下网络犯罪Darkode市场。

在视频中,其安全博客作者布赖恩·克雷布斯复制和发布到YouTube上 ,TheHell演示了如何访问受害者的帐户。

首先,攻击者必须引诱受害者点击一个恶意链接。

根据视频,一旦受害者打开该链接,一个记录器记录他的饼干。受害者被重定向到雅虎邮箱页面。然后,攻击者可以重定向受害者的浏览会话的意愿。

的cookies记录器取代它偷走了饼干,视频要求,并允许攻击者在被劫持的雅虎电子邮件帐户登录。

黑客的推销承诺,该漏洞适用于所有的浏览器,并不需要攻击者能够绕过IE或Chrome浏览器的XSS过滤器,是一个讨价还价的价格:

“我卖雅虎存储XSS窃取雅虎电子邮件在所有浏览器的cookies和工程,而你并不需要绕过IE或Chrome浏览器的XSS过滤器,因为它做到这一点本身,因为它的存储XSS。左右的价格对于这样的攻击是$ 1,100 - 1500美元,而在这里我提供为700美元。只卖给值得信赖的人,因为我不希望它尽快进行修补!“

克雷布斯通知雅虎 ,告诉他,这是在回应的脆弱性。

修复的安全漏洞,很简单,雅虎表示,但发现它完全是另一回事。

不幸的是,视频了宝贵的一些提示,帮助雅虎找出yahoo.com URL触发这个漏洞,雅虎安全主任拉美西斯·马丁内斯告诉克雷布斯:

“修复很容易,最XSS修正通过简单的代码更改......一旦我们找出有问题的URL,我们可以有新的代码部署在几个小时内最多。”

希望你读到这篇文章的时候,这个安全漏洞会被固定。

XSS缺陷是广泛的,在开放Web应用安全项目( OWASP )列表的前10个应用程序安全风险。

Yahoo Xssed.com ,一个网站,XSS攻击的文章,有很多其他的例子XSS漏洞已经被发现在雅虎网页。

OWASP解释说,XSS缺陷发生时,应用程序不受信任的数据,并把它发送给浏览器没有正确地验证或编码。这个漏洞使攻击者在受害者的浏览器中执行脚本,然后劫持用户会话,污损网站,或将用户重定向到恶意网站。

,OWASP提供这种小抄如何防止XSS缺陷,以及其他资源如何为XSS漏洞检查代码和测试。

在用户端,为克雷布斯笔记,这是另一种善意的提醒谨慎行事,当它涉及到一下我们并不希望在邮件中的链接,或从用户,我们不知道。


,出售标志 ,礼貌Shutterstock的</ SUB

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

I've been writing about technology, careers, science and health since 1995. I rose to the lofty heights of Executive Editor for eWEEK, popped out with the 2008 crash, joined the freelancer economy, and am still writing for my beloved peeps at places like Sophos's Naked Security, CIO Mag, ComputerWorld, PC Mag, IT Expert Voice, Software Quality Connection, Time, and the US and British editions of HP's Input/Output. I respond to cash and spicy sites, so don't be shy.