xem thêm
An Giang
Bình Dương
Bình Phước
Bình Thuận
Bình Định
Bạc Liêu
icon 24h qua
Đăng nhập
icon Đăng ký gói bạn đọc VIP

Lỗ hổng trong Yahoo! Mail được rao bán giá 700 USD

Thu Phương (Cnet)

(ictworld.vn) - Lỗ hổng XSS (cross-site scripting ) cho phép thực hiện các cuộc tấn công đánh cắp và thay thế các cookie nhằm theo dõi, đọc và gửi e-mail từ tài khoản của nạn nhân.

Một lỗ hổng vừa được phát hiện có thể tấn công hàng triệu người dùng Yahoo! Mail đã được rao bán với giá 700 USD. Khi lỗ hổng này bị khai thác, người sử dụng có thể bị tấn công và trình duyệt web của họ sẽ điều hướng đến các trang web độc hại.

img

Theo tiết lộ của một hacker Ai Cập trên diễn đàn tội phạm mạng, cách thức tấn công này thông qua lỗ hổng cross-site scripting (XSS) có trong trang Yahoo.com, cho phép kẻ tấn công có thể ăn cắp và thay thế các cookie nhằm theo dõi, đọc và gửi email từ tài khoản của nạn nhân. Kẻ tấn công sẽ mã hóa một liên kết độc hại trong email, khi người dùng nhấp chuột vào liên kết này đồng nghĩa với việc cho phép kẻ xấu truy cập đến các tập tin cookie và các thông tin nhạy cảm khác.
 
TheHell, hacker trong diễn đàn này mô tả kèm với video trình diễn cách thức tấn công, cho biết: "Sau khi nạn nhân click vào liên kết, tôi có thể chuyển hướng đến trang email, các nhà cung cấp,... từ xa, và người dùng có thể bị chuyển hướng đến bất cứ nơi nào mà người quản lý từ xa muốn".

TheHell cũng cho biết: "Tôi muốn bán lỗ hổng XSS vừa bị phát hiện có chức năng ăn cắp thông tin cookie email của Yahoo trên tất cả các trình duyệt. Người sử dụng lỗ hổng này sẽ không cần vượt qua các bộ lọc của IE hoặc Chrome. Giá trị của lỗ hổng này có thể trị giá từ 1.100 đến 1.500 USD, tuy nhiên 700 USD là mức giá được đưa ra".

Trao đổi với KrebsOnSecurity, Giám đốc an ninh Ramses Martinez của Yahoo! cho biết: "Việc sửa lỗi này là rất dễ dàng. Một khi tìm ra URL vi phạm, chúng tôi có thể chèn mã mới, và hoạt động này có thể triển khai nhanh chóng trong một vài giờ".

Nhà cung cấp cho biết lỗ hổng XSS này rơi vào thể loại lỗ hổng được lưu trữ, chèn mã độc vào một tập tin, cơ sở dữ liệu hoặc một hệ thống phía sau.
Lên đầu Top

Bạn cần đăng nhập để thực hiện chức năng này!

Bạn không thể gửi bình luận liên tục. Xin hãy đợi
60 giây nữa.

Thanh toán mua bài thành công

Chọn 1 trong 2 hình thức sau để tặng bạn bè của bạn

  • Tặng bằng link
  • Tặng bạn đọc thành viên
Gia hạn tài khoản bạn đọc VIP

Chọn phương thức thanh toán

Tài khoản bạn đọc VIP sẽ được gia hạn từ  tới

    Chọn phương thức thanh toán

    Chọn một trong số các hình thức sau

    Tôi đồng ý với điều khoản sử dụng và chính sách thanh toán của nld.com.vn

    Thông báo