星巴克網站再次“招黑”,還能不能讓人安心裝X了?

責任編輯:editor005

作者:喵醬

2015-09-20 21:10:05

摘自:雷鋒網

近日,來自埃及的獨立安全研究員Mohamed M Fouad在星巴克網址上發(fā)現(xiàn)了三個嚴重漏洞,黑客可以通過利用該漏洞獲得用戶賬號的權限。遠程文件包含:黑客可以將任意地址的文件注入到目標頁面,其中包含源代碼解析執(zhí)行等攻擊。

日子還能不能好好過了?咖啡還能不能好好喝了?去星巴克還能不能讓人盡情裝裝X?(笑)黑客說:不行~

近日,來自埃及的獨立安全研究員Mohamed M. Fouad在星巴克網址上發(fā)現(xiàn)了三個嚴重漏洞,黑客可以通過利用該漏洞獲得用戶賬號的權限。

這三個漏洞分別是:

遠程代碼執(zhí)行

遠程文件包含(釣魚攻擊)

CSRF(跨站請求偽造)

漏洞描述:

WEB服務器的遠程代碼執(zhí)行:在客戶端存在遠程代碼執(zhí)行,黑客可以通過執(zhí)行如XSS等攻擊進行數(shù)據(jù)竊取和操作,如用戶在星巴克網站存儲的信用卡信息等。

遠程文件包含:黑客可以將任意地址的文件注入到目標頁面,其中包含源代碼解析執(zhí)行等攻擊。

使用CSRF劫持星巴克賬戶:黑客可以利用CSRF跨站請求偽造攻擊,讓一個合法用戶代他們發(fā)起攻擊行為,比如說服人們點擊他們的HTML頁面、往目標站點插入任意HTML頁面等。攻擊者通過用CSRF誘騙用戶點擊URL,更改存儲的賬戶信息和密碼,以達到劫持受害者的賬戶、刪除帳戶,或者改變受害者綁定的郵件地址等目的。

所以如果你在星巴克網站注冊過會員,那么建議還是去改改密碼吧。

要是以為黑客只會去黑一黑某政府、某電商、某售票平臺、某色情網址之類的東西可就大錯特錯了。據(jù)了解,星巴克已經不是第一次“招黑”了。

在今年5月,星巴克官方承認了星巴克App被黑事實,黑客侵入受害者的線上星巴克賬戶,通過添加并購買禮品卡將用戶的錢偷走。而星巴克網站也擁有數(shù)百萬注冊用戶,他們在賬戶填寫了自己的信用卡信息,而新發(fā)現(xiàn)的漏洞可能導致這些信息的泄露。

不過,Mohamed也表示星巴克團隊在十幾天前已經修復了漏洞??尚Φ氖牵鴮⒙┒磮蟾鎯啥劝l(fā)給星巴克,但沒有得到任何回應。后來,Mohamed將漏洞報告給了US-CERT,星巴克團隊才修復了它。但重點在于,星巴克是有漏洞獎金計劃的,那么辛勤的白帽子Mohamed同學有沒有拿到漏洞獎金呢?

據(jù)悉,這筆獎金目前還存在在他深深的腦海里……

鏈接已復制,快去分享吧

企業(yè)網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號