来自埃及的独立安全研究员Mohamed M. Fouad在星巴克网址上发现了三个严重漏洞,黑客可以通过利用该漏洞获得用户账号的权限。
这三个漏洞分别是:
1、远程代码执行
2、远程文件包含(钓鱼攻击)
3、CSRF(跨站请求伪造)
漏洞描述:
WEB服务器的远程代码执行,在客户端存在远程代码执行,黑客可以通过执行如XSS等攻击进行数据窃取和操作,如用户在星巴克网站存储的信用卡信息等。
远程文件包含:
黑客可以将任意地址的文件注入到目标页面,其中包含源代码解析执行等攻击。
使用CSRF劫持星巴克账户:黑客可以利用CSRF跨站请求伪造攻击,让一个合法用户代他们发起攻击行为,比如说服人们点击他们的HTML页面、往目标站点插入任意HTML页面等。攻击者通过用CSRF诱骗用户点击URL,更改存储的账户信息和密码,以达到劫持受害者的账户、删除帐户,或者改变受害者绑定的邮件地址等目的。所以如果你在星巴克网站注册过会员,那么建议还是去改改密码吧。
这三个漏洞分别是:
1、远程代码执行
2、远程文件包含(钓鱼攻击)
3、CSRF(跨站请求伪造)
漏洞描述:
WEB服务器的远程代码执行,在客户端存在远程代码执行,黑客可以通过执行如XSS等攻击进行数据窃取和操作,如用户在星巴克网站存储的信用卡信息等。
远程文件包含:
黑客可以将任意地址的文件注入到目标页面,其中包含源代码解析执行等攻击。
使用CSRF劫持星巴克账户:黑客可以利用CSRF跨站请求伪造攻击,让一个合法用户代他们发起攻击行为,比如说服人们点击他们的HTML页面、往目标站点插入任意HTML页面等。攻击者通过用CSRF诱骗用户点击URL,更改存储的账户信息和密码,以达到劫持受害者的账户、删除帐户,或者改变受害者绑定的邮件地址等目的。所以如果你在星巴克网站注册过会员,那么建议还是去改改密码吧。
还没有评论,来说两句吧...