偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

星巴克官網(wǎng)曝嚴(yán)重漏洞 會(huì)員賬戶存盜竊風(fēng)險(xiǎn)

安全 漏洞
星巴克擁有數(shù)百萬(wàn)的注冊(cè)用戶,他們?cè)谫~戶填寫了自己的信用卡信息,而新發(fā)現(xiàn)的漏洞可能導(dǎo)致這些信息的泄露。

如果你在星巴克網(wǎng)站注冊(cè)過(guò)會(huì)員,那么建議你得改密碼了。

[[149722]]

星巴克網(wǎng)站多枚高危漏洞

星巴克擁有數(shù)百萬(wàn)的注冊(cè)用戶,他們?cè)谫~戶填寫了自己的信用卡信息,而新發(fā)現(xiàn)的漏洞可能導(dǎo)致這些信息的泄露。

埃及的獨(dú)立安全研究員Mohamed M.表示,他在星巴克上發(fā)現(xiàn)了三個(gè)嚴(yán)重漏洞。黑客可以通過(guò)利用其中簡(jiǎn)單的點(diǎn)擊劫持漏洞,獲取受害用戶賬號(hào)的權(quán)限。

這三個(gè)漏洞分別是:

遠(yuǎn)程代碼執(zhí)行
遠(yuǎn)程文件包含(釣魚攻擊)
CSRF(跨站請(qǐng)求偽造)

漏洞描述

遠(yuǎn)程文件包含

黑客可以將任意地址的文件注入到該目標(biāo)頁(yè)面,其中包含源代碼解析執(zhí)行之類的攻擊。

WEB服務(wù)器的遠(yuǎn)程代碼執(zhí)行

在客戶端存在遠(yuǎn)程代碼執(zhí)行,黑客可以執(zhí)行如XSS等攻擊。

通過(guò)釣魚攻擊可以進(jìn)行數(shù)據(jù)竊取和操作,比如黑客可以竊取你在星巴克網(wǎng)站存儲(chǔ)的信用卡信息。

使用CSRF劫持星巴克賬戶

黑客利用CSRF跨站請(qǐng)求偽造攻擊,讓一個(gè)合法用戶代他們發(fā)起攻擊,他們可以:

說(shuō)服人們點(diǎn)擊他們的HTML頁(yè)面。

往目標(biāo)站點(diǎn)插入任意HTML頁(yè)面

在這種情況下,攻擊者可以用CSRF誘騙用戶點(diǎn)擊URL,在不經(jīng)意中更改存儲(chǔ)的賬戶信息和密碼。黑客可以劫持受害者的賬戶、刪除帳戶,或者改變受害者綁定的郵件地址。

視頻演示地址:https://www.youtube.com/watch?v=IjnHdcJi7n0

苦等獎(jiǎng)金的白帽子

作為一名正義的白帽子,Mohamed將漏洞兩度報(bào)告給星巴克,但沒(méi)有得到任何回應(yīng)。

Mohamed后來(lái)將漏洞報(bào)告給了US-CERT,而星巴克團(tuán)隊(duì)在十幾天前修復(fù)了漏洞。星巴克在兩個(gè)月前開(kāi)啟了漏洞獎(jiǎng)金計(jì)劃,目前Fouad還在苦逼地等待星巴克團(tuán)隊(duì)的回應(yīng)和漏洞獎(jiǎng)金。

責(zé)任編輯:藍(lán)雨淚 來(lái)源: FreeBuf
相關(guān)推薦

2020-11-05 08:20:01

星巴克官網(wǎng)漏洞web安全

2014-09-22 10:38:26

2012-02-22 16:32:42

星巴克WifiUC瀏覽器

2024-07-11 16:25:44

2020-06-22 11:47:05

漏洞數(shù)據(jù)泄露網(wǎng)絡(luò)安全

2023-12-08 13:18:27

2015-10-12 11:11:56

2023-08-14 19:49:10

2014-08-01 09:12:39

2015-12-11 13:33:40

2023-07-29 11:15:47

2024-12-17 14:29:57

2020-10-15 12:24:46

Linux漏洞攻擊

2015-02-11 15:19:27

2021-08-04 18:00:23

漏洞網(wǎng)絡(luò)安全網(wǎng)絡(luò)攻擊

2024-02-18 17:03:41

2009-04-30 09:02:36

微軟操作系統(tǒng)Windows 7

2015-08-26 10:14:29

2021-12-30 08:36:13

漏洞Apache服務(wù)器

2024-02-28 18:19:35

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)