仲介交易 SEO診斷淘寶客 站長團購 雲主機 技術大廳
北京時間8月4日消息,據國外媒體報導,在本周召開的黑帽大會和Defcon駭客大會上,駭客演示了兩個可能導致個人使用者敏感資訊洩漏的社交網站漏洞,這表明MySpace等社交網站正逐漸成為電腦駭客攻擊的新目標。
第11屆黑帽大會在美國拉斯維加斯舉行,共歷時5天,上週四正式結束。 本週五,2007年Defcon駭客大會也在拉斯維加斯悄然召開,預計參會人數將超過去年的5000人。 隨著社交網路熱潮的興起,如何突破有密碼保護的社交網站已經成為駭客和電腦安全性專家一個非常感興趣的研究課題。
src="/ad/news/pic.js" type="text/javascript"> 今年21歲的美國俄亥俄州駭客裡克·戴肯(Rick Deacon)表示,他發現MySpace存在「零日」漏洞, 駭客可以利用這一漏洞控制個人頁面,甚至植入惡意程式碼。 到目前為止,這一漏洞尚未修復。 戴肯計畫本周日公開演示自己的發現,但據他稱,這一漏洞僅影響老版本火狐瀏覽器,而不會影響IE瀏覽器。
在這類攻擊中,駭客利用了一個名為「跨網站腳本」的漏洞。 通過這一漏洞,駭客可以在他人的網頁中植入惡意程式碼。 安全專家表示,很多網路應用都存在這一漏洞,但社交網站尤為突出,因為使用者每天都會發佈大量的內容,服務提供者難以有效地校驗和管理。 戴肯表示,由於存在上述漏洞,如果使用者點擊一個指向其它網頁的連結,存儲在自己電腦內的「Cookie」資訊就可能被竊取。
據戴肯稱,他早在幾個月前就發現了這一漏洞,並通知了MySpace。 但到目前為止,MySpace仍未修復該漏洞。 他說:「Facebook和MySpace更願意修復自己發現的漏洞,但它們的網站存在數百個跨網站腳本漏洞,不可能全部依靠自己發現。 」MySpace發言人還沒有就此發表評論,但該公司在聲明中稱:「擁有一支快速回應、全天候的安全團隊是我們的職責,我們也做到了這一點。 」
Errata安全公司CEO羅伯特·格拉漢姆(Robert Graham)也演示了自己的一個攻擊程式,它可以「潛伏」在一台公共無線網路的電腦上,竊取使用者的「Cookie」資訊,或者「劫持」使用者電子郵件帳戶和社交網站個人網頁。 在現場展示中,他成功截獲了一名觀眾的Gmail帳戶。 當然,如果這名觀眾試用了加密版的Gmail,格拉漢姆的程式將無法獲得成功。 到目前為止,谷歌還沒有就此發表評論。
