查看: 114387|回复: 444

致爱喝咖啡的你:星巴克官网曝严重漏洞,会员账户存盗...

[复制链接]
  • TA的每日心情
    慵懒
    2024-12-2 09:11
  • 签到天数: 919 天

    [LV.10]以坛为家III

    发表于 2015-9-20 17:03:46 | 显示全部楼层 |阅读模式
    14426722698900.jpg
    如果你在星巴克网站注册过会员,那么建议你得改密码了。

    星巴克网站多枚高危漏洞

    星巴克拥有数百万的注册用户,他们在账户填写了自己的信用卡信息,而新发现的漏洞可能导致这些信息的泄露。

    埃及的独立安全研究员Mohamed M.表示,他在星巴克上发现了三个严重漏洞。黑客可以通过利用其中简单的点击劫持漏洞,获取受害用户账号的权限。

    这三个漏洞分别是:

    远程代码执行
    远程文件包含(钓鱼攻击)
    CSRF(跨站请求伪造)
    漏洞描述

    远程文件包含

    黑客可以将任意地址的文件注入到该目标页面,其中包含源代码解析执行之类的攻击。

    WEB服务器的远程代码执行

    在客户端存在远程代码执行,黑客可以执行如XSS等攻击。

    通过钓鱼攻击可以进行数据窃取和操作,比如黑客可以窃取你在星巴克网站存储的信用卡信息。

    使用CSRF劫持星巴克账户

    黑客利用CSRF跨站请求伪造攻击,让一个合法用户代他们发起攻击,他们可以:

    说服人们点击他们的HTML页面。
    往目标站点插入任意HTML页面
    在这种情况下,攻击者可以用CSRF诱骗用户点击URL,在不经意中更改存储的账户信息和密码。黑客可以劫持受害者的账户、删除帐户,或者改变受害者绑定的邮件地址。

    视频演示
    [media=swf,500,375]h苦等奖金的白帽子

    作为一名正义的白帽子,Mohamed将漏洞两度报告给星巴克,但没有得到任何回应。

    Mohamed后来将漏洞报告给了US-CERT,而星巴克团队在十几天前修复了漏洞。星巴克在两个月前开启了漏洞奖金计划,目前Fouad还在苦逼地等待星巴克团队的回应和漏洞奖金。。ttp://cache.tv.qq.com/qqplayerout.swf?vid=s0166snprxc[/media].
    14426788521065.jpg
    回复

    使用道具 举报

    该用户从未签到

    发表于 2015-9-20 19:30:12 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-9-21 01:11:24 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2019-2-12 22:05
  • 签到天数: 2 天

    [LV.1]初来乍到

    发表于 2015-9-21 10:54:25 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-9-21 22:59:57 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-9-22 03:34:56 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-9-23 09:16:12 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-9-23 09:38:56 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-9-23 18:36:27 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-9-23 22:50:46 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-19 04:19 , Processed in 0.026459 second(s), 13 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部