您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
新鲜 正文
发私信给喵酱
发送

2

星巴克网站再次“招黑”,还能不能让人安心装X了?

本文作者:喵酱 2015-09-20 05:42
导语:先报告一个“好”消息:星巴克网站有多个高危漏洞,而新发现的漏洞可能导致用户信用卡信息泄露。

星巴克网站再次“招黑”,还能不能让人安心装X了?

日子还能不能好好过了?咖啡还能不能好好喝了?去星巴克还能不能让人尽情装装X?(笑)黑客说:不行~

近日,来自埃及的独立安全研究员Mohamed M. Fouad在星巴克网址上发现了三个严重漏洞,黑客可以通过利用该漏洞获得用户账号的权限。

星巴克网站再次“招黑”,还能不能让人安心装X了?

这三个漏洞分别是:

远程代码执行
远程文件包含(钓鱼攻击)
CSRF(跨站请求伪造)

漏洞描述:

  • WEB服务器的远程代码执行:在客户端存在远程代码执行,黑客可以通过执行如XSS等攻击进行数据窃取和操作,如用户在星巴克网站存储的信用卡信息等。

  • 远程文件包含:黑客可以将任意地址的文件注入到目标页面,其中包含源代码解析执行等攻击。

  • 使用CSRF劫持星巴克账户:客可以利用CSRF跨站请求伪造攻击,让一个合法用户代他们发起攻击行为,比如说服人们点击他们的HTML页面、往目标站点插入任意HTML页面等。攻击者通过用CSRF诱骗用户点击URL,更改存储的账户信息和密码,以达到劫持受害者的账户、删除帐户,或者改变受害者绑定的邮件地址等目的。

所以如果你在星巴克网站注册过会员,那么建议还是去改改密码吧。

要是以为黑客只会去黑一黑某政府、某电商、某售票平台、某色情网址之类的东西可就大错特错了。据了解,星巴克已经不是第一次“招黑”了。

在今年5月,星巴克官方承认了星巴克App被黑事实,黑客侵入受害者的线上星巴克账户,通过添加并购买礼品卡将用户的钱偷走。而星巴克网站也拥有数百万注册用户,他们在账户填写了自己的信用卡信息,而新发现的漏洞可能导致这些信息的泄露。

星巴克网站再次“招黑”,还能不能让人安心装X了?

不过,Mohamed也表示星巴克团队在十几天前已经修复了漏洞。可笑的是,他曾将漏洞报告两度发给星巴克,但没有得到任何回应。后来,Mohamed将漏洞报告给了US-CERT,星巴克团队才修复了它。但重点在于,星巴克是有漏洞奖金计划的,那么辛勤的白帽子Mohamed同学有没有拿到漏洞奖金呢?

据悉,这笔奖金目前还存在在他深深的脑海里……

via thehackernews.com

雷峰网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章

精神病喵

这个作者很捞逼,雷锋网拒绝为其负责=_=
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说