微剋多資訊

 找回密碼
 註冊

Login

Login

搜索

該用戶從未簽到

發表於 2013-1-8 12:43 | 顯示全部樓層 |閱讀模式
主題:美國雅虎信箱被踢爆具有 XSS 漏洞 (2013年版本,含影片示範)

說明:
引用國外媒體報導:
http://threatpost.com/en_us/blogs/yahoo-mail-xss-vulnerability-could-affect-millions-accounts-010713

由於無法了解台灣的雅虎奇摩信箱其運轉機制是否與美國雅虎相同,無法判斷是否會產生相同的 XSS 漏洞,僅能呼籲使用者留意"網頁信箱的郵件社交工程"手法,來防止自己被盜用信箱帳號!

技術說明:
1.原影片示範者採用 IE10 與 Chrome 不同瀏覽器來示範寄件者與收件者的角色,並搭配造一個會記錄點選網址紀錄(URL cookie)的網頁來驗證過程。

2.使用 Burp Suite 這套web 漏洞檢測工具來剛剛取得的 HTTP requests 並修改。

3.完成後使用 Chrome 瀏覽器的寄件者就可以登入使用 IE10 的收件者信箱。

註:由於原示範者使用2種不同瀏覽器,容易誤會是不是瀏覽器本身的問題。但我不認為這是瀏覽器本身的漏洞所造成,而應該是 Webmail 的網頁應用程式與傳輸機制不夠嚴謹的問題。


From
https://www.facebook.com/netwargame

該用戶從未簽到

發表於 2013-1-8 13:08 | 顯示全部樓層
四處都有漏洞
尤其網頁程式往往有些不為人知,未被發掘的漏洞
使用者要自求多福,儘量少用不必要的系統
回覆

使用道具 舉報

該用戶從未簽到

發表於 2013-1-8 15:48 | 顯示全部樓層
使用網路要小心再小心
避免個資外洩
裝防毒軟體和防火牆是必要的
回覆

使用道具 舉報

您需要登入後才可以回帖 登入 | 註冊

本版積分規則

小黑屋|Archiver|微剋多資訊(MicroDuo)

GMT+8, 2016-12-6 00:37

Discuz! X

© 2009-2016 Microduo

快速回覆 返回頂部 返回列表