咖啡爱好者小心!星巴克会让你暴露了3个关键漏洞
相关标签: # 漏洞# 研究# 账户# 黑客# 入侵
如果你是在星巴克网站上注册账户和信用卡信息的数百万星巴克客户之一,那么你的银行信息很容易受到黑客攻击。
作为一名独立的安全研究员,Mohamed M.Fouad来自埃及的黑客在星巴克网站上发现了三个关键漏洞,这些漏洞可能让攻击者只需点击一下就可以接管你的帐户。
这些漏洞包括:
- 远程代码执行
- 远程文件包含导致网络钓鱼攻击
- CSRF(跨站点请求伪造)
窃取信用卡详细信息
万一远程文件包含漏洞,攻击者可以将文件从任何位置注入目标页面,该页面包括用于解析和执行的源代码,允许攻击者执行:
- 远程代码执行在公司的网络服务器上
- 远程代码在客户端执行,可能允许攻击者执行其他攻击,例如跨站点脚本(XSS)
- 通过钓鱼攻击试图劫持包含信用卡详细信息的客户账户
使用CSRF劫持星巴克商店账户
CSRF或跨站点请求伪造是一种攻击网站的方法,入侵者伪装成合法用户。攻击者需要做的就是让目标浏览器代表他们向站点发出请求,如果他们能够:
- 说服用户点击他们的HTML页面
- 在目标站点中插入任意HTML
在这种情况下,攻击者可以使用CSRF诱使受害者单击URL,从而更改用户的商店帐户信息,包括帐户密码。
这可能会让攻击者劫持受害者的帐户、删除帐户或更改受害者的电子邮件地址。
福阿德戴着白帽子两次向星巴克报告了这些严重缺陷,但没有得到团队的任何回复。
Fouad随后向US-CERT报告了同样的缺陷,后者确认了星巴克团队近十天前修复的漏洞。
然而,福阿德仍在等待星巴克团队的回复和他的漏洞奖励,因为星巴克在两个月前刚刚启动了漏洞奖励计划。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
