互聯(lián)網(wǎng)搜索公司Netcraft的工具條檢測(cè)到雅虎網(wǎng)站有一個(gè)跨站腳本安全漏洞。利用這個(gè)安全漏洞能夠竊取身份識(shí)別cookies。
Netcraft公司的Paul Mutton本周一在博客中說(shuō),這個(gè)安全漏洞存在于雅虎HotJobs搜索引擎網(wǎng)站。黑客在這個(gè)網(wǎng)站上嵌入了惡意的JavaScript代碼。
Mutton說(shuō),這個(gè)腳本竊取發(fā)送到雅虎網(wǎng)站域名的身份識(shí)別cookies,然后把這些cookies發(fā)送到美國(guó)的不同網(wǎng)站。黑客在那些網(wǎng)站搜集這些竊取的身份識(shí)別細(xì)節(jié)資料。
這種偷竊的證書(shū)能夠讓攻擊者訪問(wèn)受害人的雅虎賬戶,包括雅虎郵件服務(wù)的賬戶。這個(gè)安全漏洞與今年早些時(shí)候影響雅虎其它網(wǎng)站的另一個(gè)安全漏洞類(lèi)似。
Mutton說(shuō),訪問(wèn)雅虎網(wǎng)站的惡意URL地址就足以使受害人成為攻擊者的獵物,讓攻擊者獲取受害訪問(wèn)進(jìn)程中的cookies,從而獲得訪問(wèn)受害人雅虎郵件賬戶的權(quán)限。攻擊者完成這個(gè)過(guò)程甚至都不需要輸入用戶名和秘密。攻擊者給受害人發(fā)送一個(gè)空白網(wǎng)頁(yè),使受害人想不到自己的賬戶已經(jīng)被攻破了。
Mutton指出,網(wǎng)站必須保護(hù)cookie值。Netcraft已經(jīng)向雅虎通報(bào)了這個(gè)安全漏洞。本周一沒(méi)有找到雅虎發(fā)言人對(duì)此發(fā)表評(píng)論
