以下是一個HTML注入（injection）的例子：

如何注入HTML代碼

1. 進入McAfee 回扣中心（Rebate Center）
2. 點擊獲得回扣（Get Rebate）
3. 把以下代碼復(fù)制到“購買日期（Date Purchased）”一欄：
4. 點擊繼續(xù)（continue）

這樣就建立起一個簡單的重定向（redirect），可以轉(zhuǎn)到讀寫網(wǎng)。這就是HTML注入。

以上這個例子雖然簡單，但說明了McAfee明顯容易受到XSS攻擊。和最近Twitter上的Mikeey病毒一樣，該漏洞也是輸出過濾（output filtering）處理不當?shù)慕Y(jié)果。Twitter有情可原，但是McAfee的核心業(yè)務(wù)就是信息安全，這有點說不過去。

“McAfee安全”可能向用戶提供錯誤信息

還有更糟糕的。McAfee有一個叫做McAfee 安全（Secure）的產(chǎn)品，用來幫助公司確認自己的網(wǎng)站是否會受到惡意攻擊。其原理就是這些網(wǎng)站加入McAfee安全計劃，每天進行檢查，如果通過檢查，就會得到McAfee安全標志，上面有當天的日期。

糟糕的是McAfee似乎沒有在自己所有站點上運行McAfee安全產(chǎn)品。

上面這個釣魚網(wǎng)站由James制作，包括https，以及McAfee域名，甚至還有一個帶有日期的有效McAfee安全證書。

James認為該漏洞最大的用途就是用來以McAfee的名義傳播惡意軟件。不法分子可以篡改正版McAfee產(chǎn)品，植入木馬，在你不知道的情況下進入你的電腦。

James指出，有了這個偽造網(wǎng)站，他甚至都不需修改McAfee安全Logo。他說：“我們通過他們的證書來實現(xiàn)我們的攻擊。”

趕緊查看一下這個釣魚網(wǎng)站吧，別拉下https://。

你很安全，對吧？