星巴克官網(wǎng)曝嚴(yán)重漏洞 會員賬戶存盜竊風(fēng)險(xiǎn)
如果你在星巴克網(wǎng)站注冊過會員,那么建議你得改密碼了。
星巴克網(wǎng)站多枚高危漏洞
星巴克擁有數(shù)百萬的注冊用戶,他們在賬戶填寫了自己的信用卡信息,而新發(fā)現(xiàn)的漏洞可能導(dǎo)致這些信息的泄露。
埃及的獨(dú)立安全研究員Mohamed M.表示,他在星巴克上發(fā)現(xiàn)了三個嚴(yán)重漏洞。黑客可以通過利用其中簡單的點(diǎn)擊劫持漏洞,獲取受害用戶賬號的權(quán)限。
這三個漏洞分別是:
遠(yuǎn)程代碼執(zhí)行
遠(yuǎn)程文件包含(釣魚攻擊)
CSRF(跨站請求偽造)
漏洞描述
遠(yuǎn)程文件包含
黑客可以將任意地址的文件注入到該目標(biāo)頁面,其中包含源代碼解析執(zhí)行之類的攻擊。
WEB服務(wù)器的遠(yuǎn)程代碼執(zhí)行
在客戶端存在遠(yuǎn)程代碼執(zhí)行,黑客可以執(zhí)行如XSS等攻擊。
通過釣魚攻擊可以進(jìn)行數(shù)據(jù)竊取和操作,比如黑客可以竊取你在星巴克網(wǎng)站存儲的信用卡信息。
使用CSRF劫持星巴克賬戶
黑客利用CSRF跨站請求偽造攻擊,讓一個合法用戶代他們發(fā)起攻擊,他們可以:
說服人們點(diǎn)擊他們的HTML頁面。
往目標(biāo)站點(diǎn)插入任意HTML頁面
在這種情況下,攻擊者可以用CSRF誘騙用戶點(diǎn)擊URL,在不經(jīng)意中更改存儲的賬戶信息和密碼。黑客可以劫持受害者的賬戶、刪除帳戶,或者改變受害者綁定的郵件地址。
視頻演示地址:https://www.youtube.com/watch?v=IjnHdcJi7n0
苦等獎金的白帽子
作為一名正義的白帽子,Mohamed將漏洞兩度報(bào)告給星巴克,但沒有得到任何回應(yīng)。
Mohamed后來將漏洞報(bào)告給了US-CERT,而星巴克團(tuán)隊(duì)在十幾天前修復(fù)了漏洞。星巴克在兩個月前開啟了漏洞獎金計(jì)劃,目前Fouad還在苦逼地等待星巴克團(tuán)隊(duì)的回應(yīng)和漏洞獎金。