日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
以殺毒的名義施毒:Mcafee網(wǎng)站驚現(xiàn)漏洞

McAfee是一家著名的殺毒軟件公司,但是到現(xiàn)在為止,任何懂一些網(wǎng)絡(luò)技術(shù)的人都可以在McAfee網(wǎng)站上為所欲為。在本周的測(cè)試中,我們發(fā)現(xiàn)這家聲稱“讓您遠(yuǎn)離身份盜竊,信用卡欺詐,間諜軟件,垃圾信息,病毒和在線欺詐”的公司網(wǎng)站上存在一些跨站腳本(XSS)漏洞,給不法分子提供了可乘之機(jī)。

創(chuàng)新互聯(lián)公司專業(yè)為企業(yè)提供坊子網(wǎng)站建設(shè)、坊子做網(wǎng)站、坊子網(wǎng)站設(shè)計(jì)、坊子網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)與制作、坊子企業(yè)網(wǎng)站模板建站服務(wù),10多年坊子做網(wǎng)站經(jīng)驗(yàn),不只是建網(wǎng)站,更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

McAfee網(wǎng)站上的嚴(yán)重漏洞后果很嚴(yán)重,絕非兒戲。

安全科學(xué)公司 聯(lián)合創(chuàng)始人和《找出釣魚(yú)欺詐(Phishing Exposed)》的作者Lance James稱,當(dāng)罪犯在一個(gè)老牌的殺毒網(wǎng)站上發(fā)現(xiàn)XSS漏洞時(shí),他會(huì)如魚(yú)得水。該漏洞可以騙取人們的信任,成為散步恐嚇軟件(Scareware)的惡棍們的天堂。不法分子可以對(duì)正版McAfee做手腳,以自己的名義進(jìn)行傳播。這對(duì)McAfee公司來(lái)說(shuō)是巨大的名譽(yù)損失。

該漏洞涉及McAfee回扣中心網(wǎng)站, 允許用戶注入HTML代碼。

以下是一個(gè)HTML注入(injection)的例子:

如何注入HTML代碼

  1. 進(jìn)入McAfee 回扣中心(Rebate Center)
  2. 點(diǎn)擊獲得回扣(Get Rebate)
  3. 把以下代碼復(fù)制到“購(gòu)買日期(Date Purchased)”一欄:
  4. 點(diǎn)擊繼續(xù)(continue)

這樣就建立起一個(gè)簡(jiǎn)單的重定向(redirect),可以轉(zhuǎn)到讀寫網(wǎng)。這就是HTML注入。

以上這個(gè)例子雖然簡(jiǎn)單,但說(shuō)明了McAfee明顯容易受到XSS攻擊。和最近Twitter上的Mikeey病毒一樣,該漏洞也是輸出過(guò)濾(output filtering)處理不當(dāng)?shù)慕Y(jié)果。Twitter有情可原,但是McAfee的核心業(yè)務(wù)就是信息安全,這有點(diǎn)說(shuō)不過(guò)去。

“McAfee安全”可能向用戶提供錯(cuò)誤信息


還有更糟糕的。McAfee有一個(gè)叫做McAfee 安全(Secure)的產(chǎn)品,用來(lái)幫助公司確認(rèn)自己的網(wǎng)站是否會(huì)受到惡意攻擊。其原理就是這些網(wǎng)站加入McAfee安全計(jì)劃,每天進(jìn)行檢查,如果通過(guò)檢查,就會(huì)得到McAfee安全標(biāo)志,上面有當(dāng)天的日期。

糟糕的是McAfee似乎沒(méi)有在自己所有站點(diǎn)上運(yùn)行McAfee安全產(chǎn)品。

上面這個(gè)釣魚(yú)網(wǎng)站由James制作,包括https,以及McAfee域名,甚至還有一個(gè)帶有日期的有效McAfee安全證書(shū)。

James認(rèn)為該漏洞最大的用途就是用來(lái)以McAfee的名義傳播惡意軟件。不法分子可以篡改正版McAfee產(chǎn)品,植入木馬,在你不知道的情況下進(jìn)入你的電腦。

James指出,有了這個(gè)偽造網(wǎng)站,他甚至都不需修改McAfee安全Logo。他說(shuō):“我們通過(guò)他們的證書(shū)來(lái)實(shí)現(xiàn)我們的攻擊?!?/p>

趕緊查看一下這個(gè)釣魚(yú)網(wǎng)站吧,別拉下https://。

你很安全,對(duì)吧?


分享標(biāo)題:以殺毒的名義施毒:Mcafee網(wǎng)站驚現(xiàn)漏洞
標(biāo)題URL:http://www.5511xx.com/article/dhhshcc.html