Хакер продажи $ 700, что захватывает использовать учетные записи электронной почты Yahoo

For sale sign, courtesy of Shutterstock Хакер продает $ 700 нулевого дня эксплойт для Yahoo Mail, которая позволяет злоумышленнику рычаги межсайтового скриптинга (XSS) уязвимость, чтобы украсть печенье и захватить счетов.

Хакер, который идет за ручку TheHell, созданного видео на рынок подвиг на Darkode, эксклюзивный подпольный рынок киберпреступности.

В видео, которое безопасности блоггер Брайан Кребс воспроизводиться и размещены на YouTube , TheHell демонстрирует, как получить доступ к счету жертвы.

Во-первых, злоумышленник должен заманить жертву в нажав на вредоносные ссылки.

Согласно видео, когда жертва открывает эту ссылку, регистратор записывает свои куки. Жертва перенаправляется обратно на страницу электронной почты Yahoo. Злоумышленник может перенаправить сеанс просмотра жертвы на волю.

Печенье регистратор заменяет печенье он украл, видео претензии, и позволяет злоумышленнику войти в угнали учетной записи электронной почты Yahoo.

Продаж шаг хакер обещает, что эксплоит работает на всех браузерах, не требуют злоумышленнику обойти IE или Chrome XSS фильтров, а также является сделкой по цене:

.. "Я продаю Yahoo хранится XSS, которые крадут Yahoo электронной почты печенье и работает на всех браузерах и вам не нужно обходить IE или Chrome XSS-фильтр, как это сделать, потому что сама она хранится XSS цены вокруг такого подвига составляет $ 1,100 - $ 1500, в то время как я предлагаю это здесь за $ 700. Продам только доверенным людям Потому что я не хочу, чтобы это быть исправлена ​​в ближайшее время! "

Кребс предупредил Yahoo , который сказал ему, что это был ответ на уязвимость.

Крепление дыра в безопасности будет простым, Yahoo сказал, но найти это совсем другое дело.

К сожалению, видео дал несколько драгоценных советов, которые помогут Yahoo выяснить, yahoo.com URL, который запускает эксплойт, Yahoo директора по безопасности Рамзеса Мартинес сказал Кребс:

"Крепление легко, большинство XSS исправляется простым изменением кода .... Как только мы выясним, оскорбления URL мы можем иметь новый код развернуты в течение нескольких часов не более".

Будем надеяться, что к тому времени вы читаете это, недостаток будет исправлен.

XSS недостатки широко распространены, появляясь в (Open Web Application Security проекта OWASP в ) список Топ-10 рисков безопасности приложений.

Yahoo Xssed.com , сайт, который сообщил сообщения XSS-атак, есть много других примеров XSS недостатки, которые были обнаружены на страницах Yahoo.

Как OWASP объясняет, XSS недостатки произойдет, когда приложение занимает непроверенных данных и отправляет его в браузере без надлежащей проверки или кодирующей его. Недостатки позволяют злоумышленникам запускать скрипты в браузере жертвы, которые затем захватили сеансов пользователей, сайтов портить Интернете, или перенаправлять пользователей на вредоносные сайты.

OWASP предлагает эту шпаргалку о том, как предотвратить XSS недостатки, а также другие ресурсы о том, как просматривать код и тест на XSS недостатки.

На конечных пользователей, как отмечает Кребса, это еще один хороший напоминание осторожно, когда дело доходит до нажатия на ссылки в электронных письмах мы не ожидаем или от пользователей, мы не знаем.


Для продажи знак , любезно Shutterstock </ SUB