雅虎网站存在跨站脚本安全漏洞被曝

  10月28日消息,互联网搜索公司Netcraft的工具条检测到雅虎网站有一个跨站脚本安全漏洞。利用这个安全漏洞能够窃取身份识别cookies。

  Netcraft公司的Paul Mutton本周一在博客中说,这个安全漏洞存在于雅虎HotJobs搜索引擎网站。黑客在这个网站上嵌入了恶意的JavaScript代码。

  Mutton说,这个脚本窃取发送到雅虎网站域名的身份识别cookies,然后把这些cookies发送到美国的不同网站。黑客在那些网站搜集这些窃取的身份识别细节资料。

  这种偷窃的证书能够让攻击者访问受害人的雅虎账户,包括雅虎邮件服务的账户。这个安全漏洞与今年早些时候影响雅虎其它网站的另一个安全漏洞类似。

  Mutton说,访问雅虎网站的恶意URL地址就足以使受害人成为攻击者的猎物,让攻击者获取受害访问进程中的cookies,从而获得访问受害人雅虎邮件账户的权限。攻击者完成这个过程甚至都不需要输入用户名和秘密。攻击者给受害人发送一个空白网页,使受害人想不到自己的账户已经被攻破了。

  Mutton指出,网站必须保护cookie值。Netcraft已经向雅虎通报了这个安全漏洞。本周一没有找到雅虎发言人对此发表评论。

  感谢http://www.150123.com分享本新闻

时间: 2024-09-20 10:38:20

雅虎网站存在跨站脚本安全漏洞被曝的相关文章

为什么主流网站无法捕获 XSS 漏洞?

二十多年来,跨站脚本(简称 XSS)漏洞一直是主流网站的心头之痛.为什么过了这么久,这些网站还是对此类漏洞束手无策呢? 对于最近 eBay 网站曝出的跨站脚本漏洞,你有什么想法?为什么会出现这样的漏网之鱼?一个如此大规模的网站,不应该具备可靠的网关安全技术以阻止任何情况下的 XSS 攻击么? 即便从上世纪 90 年代开始,跨站脚本漏洞就已经为人们所熟知.时至今日,它仍在贻害为数不少的网站.大多数主流网站,包括谷歌,CNN,PayPal 以及 Facebook,都曾受过 XSS 漏洞的影响.该漏洞

跨站脚本执行漏洞详解与防护_木马相关

本文主要介绍跨站脚本执行漏洞的成因,形式,危害,利用方式,隐藏技巧,解决方法和常见问题 (FAQ),由于目前介绍跨站脚本执行漏洞的资料还不是很多,而且一般也不是很详细,所以希望本文能够 比较详细的介绍该漏洞.由于时间仓促,水平有限,本文可能有不少错误,希望大家不吝赐教.  声明,请不要利用本文介绍的任何内容,代码或方法进行破坏,否则一切后果自负!  [漏洞成因]  原因很简单,就是因为CGI程序没有对用户提交的变量中的HTML代码进行过滤或转换.  [漏洞形式]  这里所说的形式,实际上是指CG

数百万雅虎网站访问者被恶意软件攻击

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 网易科技讯 1月6日消息,据国外媒体报道,雅虎网站的广告服务器被黑,过去一周的雅虎网站访问者可能已经受到来自网站广告的恶意软件攻击. 总部设在荷兰的在线安全公司Fox IT周五通过博客表示,点击了广告的用户被重定向到其他网站,利用网站Java代码的漏洞安装了许多不同的恶意软件.报告表示:"访问yahoo.com的用户收到了来自ads

浅谈网站建设中常见漏洞

经常有人问,同样是试图通过建设网站打通网络营销道路,为什么有些企业接电话接到手软,有些企业网站建设完成上线后却迟迟无人问津呢? 作为多年专业经验的网站建设团队,灵动网络就部分无人问津的企业网站现状共同点进行一个初步分析: 使用大篇幅Flash作为网站设计主要元素 将Flash做为网站设计的主要元素,利弊相当明显.不得不承认,Flash网站好看,能够提高企业形象.尤其是服装.美容.化妆品等行业.但是Flash不一定能够体现出更多具有价值的信息,最重要的是,搜索引擎的抓取蜘蛛目前并不能识别Flash

报告显示37%网站存在JavaScript库漏洞

近日,美国高校安全研究团队发布了一份关于网络上使用JavaScript程序库的分析报告,报告中指出在所调查的13.3万个网站中,有37%的网站存在使用含有漏洞的JavaScript程序库的情况,而且至少使用了1个,同时这些程序库多是很久都未更新的老版本. 37%网站存在JavaScript库漏洞 JavaScript作为一种高级动态程序语言,是与HTML及CSS并重的网页前端设计标准代码,堪称万维网(WWW)的三大核心技术语言之一.而JavaScript程序库(JavaScript librar

雅虎网站页面性能优化的34 条黄金守则

雅虎网站页面性能优化的34 条黄金守则 雅虎团队经验:网站页面性能优化的34 条黄金守则 1 .尽量减少HTTP 请求次数 2 .减少DNS 查找次数 域名系统(DNS )提供了域名和IP 的对应关系,就像电话本中人名和他们的电话号码的关系一样.当你在浏览器地址栏中输入www.rjboy.cn时,DNS 解析服务器就会返回这个域名对应的IP 地址.DNS 解析的过程同样也是需要时间的.一般情况下返回给定域名对应的IP 地址会花费20 到120 毫秒的时间.而且在这个过程中浏览器什么都不会做直到D

360网站安全发布Struts2漏洞检测工具

中介交易 SEO诊断 淘宝客 云主机 技术大厅 360网站安全率先发布"Struts2漏洞检测工具".截止到今天上午10点,已经有800多家网站通过该工具进行了安全检测. "Struts2漏洞检测"工具使用非常简单,只需要输入域名即可进行检测.检测结果中,还提供了该Struts2漏洞的临时修复方案. Apache Struts2的该漏洞是国外安全研究人员日前发现的.研究人员发现,Apache Struts2在处理CVE-2014-0094的漏洞补丁中存在缺陷,会被轻

【硅谷连线】雅虎网站访问量超过谷歌 比特币交易价突破1000美元

中云网每天连线硅谷,呈现最新鲜资讯!这里的"硅谷"指的是国外具有典型性和创新性企业代表. 1. 雅虎网站访问量超过谷歌 梅耶尔内容战略奏效 <http://tech.qq.com/a/20131127/016763.htm> comScore统计了桌面网民10月份的上网活动,结果发现有两个情况对雅虎非常有利. 第一个发现是,大量桌面网民蜂拥到雅虎网站.10月份,雅虎网站的访客量超过了谷歌网站,一跃而成为全美访客量最高的网站.它的访客量为1.958亿人,而谷歌网站的访客量为1

温州近10%的网站存在高危安全漏洞

打击处理103名黑客,责令858家因网络存在安全隐患或未落实信息安全等级保护的单位整改.处理17家网络隐患单位--记者昨天从我市召开的网络与信息安全信息通报工作电视电话会议获悉,我市有近10%的网站存在高危安全漏洞,有3%的互联网信息系统存在弱口令和信息泄露等安全隐患. 4月6日,在乐清本地微信群中流传一则信息--"今日早上7时,三名不法分子试图将虹桥二小六年级的一位同学劫持上车,孩子咬了其中一人的手后下车逃跑.该情况已报案,请各位家长注意接送孩子". 经查网传信息属虚构,信息中的孩子