网站赚钱第2步,立即行动使用VPS建立可以赚钱的网站,Niche网站建站教程,VPS建站【阿云网事,建站方式1】#5
目录:
根据最近检测到的电子邮件攻击活动的黑客利用雅虎网站中的漏洞劫持雅虎用户的电子邮件帐户并将其用于垃圾邮件,据防病毒供应商的安全研究人员称Bitdefender。
攻击始于用户收到一封垃圾邮件,并在主题行中输入了他们的名字,并在短时间内“检出此页面”,然后缩短了链接。点击链接后,用户会到一个网站伪装成包含有关如何赚钱在家工作的一篇文章的MSNBC新闻网站上的BitDefender的研究人员周三在一篇博客文章中说,
乍一看,这似乎没有什么不同来自其他在家工作的骗局网站。然而,在后台,一段JavaScript代码利用雅虎开发者网络(YDN)博客网站中的跨站点脚本(XSS)漏洞窃取访问者的雅虎会话cookie。
[更多阅读:如何从您的Windows PC中删除恶意软件]会话cookie open door
会话cookie是浏览器内部网站存储的唯一文本字符串,用于记录登录用户直到他们退出。 Web浏览器使用称为同源策略的安全机制来防止在不同选项卡中打开的网站访问彼此的资源,如会话cookie。 (另请参阅如何保护自己从超级cookie。“)
通常每个域强制使用同一策略,例如,google.com无法访问yahoo.com的会话cookie,即使用户可能同时登录但是,根据Cookie设置,子域名可以访问由其父域设置的会话cookie。
雅虎似乎就是这种情况,用户仍然登录,无论使用哪种网站他们访问的雅虎子域,包括developer.yahoo.com。
从伪造的MSNBC网站加载的流氓JavaScript代码强制访问者的浏览器通过专门制作的URL调用developer.yahoo.com,该URL利用XSS漏洞并执行其他JavaScript代码位于developer.yahoo.com子域的上下文中
这个附加的JavaScript代码读取Yahoo用户的会话cookie并将其上传到攻击者控制的网站,然后使用cookie访问该用户r的电子邮件帐户,并将垃圾邮件发送给他们所有的联系人。从某种意义上说,这是一个XSS供电,自我传播的蠕虫病毒的电子邮件。
的利用XSS漏洞实际上是位于所谓的SWFUpload一个WordPress组件和WordPress版本3.3.2这是在2012年4月发布了补丁,该Bitdefender的研究人员说。然而,YDN博客网站似乎使用的是过时的WordPress版本。
漏洞利用报告,被压扁
Bitdefender研究人员在星期三发现了攻击事件后,搜索了该公司的垃圾邮件数据库,发现了几乎可以追溯到月,Bitdefender的高级电子威胁分析师Bogdan Botezatu表示,周四通过电子邮件发送消息称,“估计这种攻击的成功率非常困难,因为在传感器网络中无法看到”,他说过。 “但是,我们估计过去一个月内我们处理的垃圾邮件中大约有百分之一是由于这起事件造成的。”
Bitdefender周三报道了雅虎的弱点,但它在周四仍然可以被利用,Botezatu说。 。 “我们的一些测试账户仍然在发送这种特定类型的垃圾邮件,”他表示,“在周四晚些时候发布的声明中,雅虎表示已经修补了这个漏洞。”
雅虎需要安全和我们用户的数据严重“,一位雅虎代表通过电子邮件说。 “我们最近从外部安全公司获悉了一个漏洞,并确认我们修复了这个漏洞。我们鼓励有关用户将他们的密码更改为一个包含字母,数字和符号的强密码;并且允许第二次登录挑战他们的账户设置。“
Botezatu建议用户避免点击通过电子邮件收到的链接,特别是如果他们缩短bit.ly.他表示,在打开这个链接之前确定一个链接是否是恶意的可能会导致这样的攻击。<
在这种情况下,这些消息来自用户知道的人 - 发件人在他们的联系人列表中 - 并且恶意网站很好他说,制作成看起来像可敬的MSNBC门户网站。 “这是一种我们预计会非常成功的攻击。”