欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

黑客通過(guò)Paypal可傳輸惡意圖像

  發(fā)布時(shí)間:2016-06-29 15:24:20   作者:佚名   我要評(píng)論
PayPal解決了一個(gè)可被黑客用來(lái)向支付頁(yè)面插入惡意圖像的漏洞問(wèn)題,對(duì)黑客漏洞感興趣的小伙伴們可以參考一下

貝寶(PayPal)解決了一個(gè)可被黑客用來(lái)向支付頁(yè)面插入惡意圖像的漏洞問(wèn)題。

安全研究員Aditya K Sood發(fā)現(xiàn)貝寶用戶設(shè)置的支付頁(yè)面的URL中包含一個(gè)名為“image_url”的參數(shù)。這個(gè)參數(shù)的值可被指向一張托管在遠(yuǎn)程服務(wù)器上的圖片URL所替 代。而這種情況能夠允許攻擊者使用第三方廠商的貝寶支付頁(yè)面?zhèn)鞑阂鈭D像。Sood通過(guò)在廠商支付頁(yè)面上展示任意圖像的方法證明了該漏洞的存在,不過(guò)他認(rèn) 為攻擊者可能會(huì)傳播隱藏在圖像中的惡意軟件或利用。

網(wǎng)絡(luò)犯罪分子一直都使用看起來(lái)無(wú)害的圖像文件隱藏惡意軟件。這種技術(shù)曾被Lurk下載器、Neverquest惡意軟件、Stegoloader信息竊取器以及一個(gè)最近由卡巴斯基分析的巴西木馬的開(kāi)發(fā)人員使用過(guò)。

Sood指出,“這是一種不安全的設(shè)計(jì),因?yàn)樨悓氃试S遠(yuǎn)程用戶將屬于自己的圖像注入到貝寶用于客戶交易的組件中。也就是說(shuō),攻擊者能否通過(guò)圖像傳播惡意軟件或利用?答案是肯定的。一些利用技術(shù)可實(shí)現(xiàn)這一目的。”

攻擊者能夠通過(guò)讓未經(jīng)驗(yàn)證的用戶點(diǎn)擊特殊編制的鏈接的方式利用這個(gè)漏洞。URL被托管在paypal.com上的事實(shí)增加了受害者打開(kāi)鏈接的可能性。

這個(gè)漏洞于1月份上報(bào)給了貝寶,不過(guò)在這個(gè)月才被修復(fù)。貝寶公司起初表示這個(gè)報(bào)告不具備獲取漏洞獎(jiǎng)勵(lì)的資格,不過(guò)隨后公司決定修復(fù)這一漏洞并為Sood頒發(fā)了1000美元的獎(jiǎng)勵(lì)。

Sood認(rèn)為這是一個(gè)高風(fēng)險(xiǎn)問(wèn)題,而且他對(duì)貝寶公司不同意他的評(píng)估而不滿。貝寶回應(yīng)稱(chēng),Sood描述的攻擊場(chǎng)景不可能發(fā)生,因?yàn)閭鞑阂廛浖懈雍?jiǎn)便的方法,此外表示公司正在積極掃描惡意內(nèi)容。

測(cè)騰代碼衛(wèi)士/文

以上就是本文的全部?jī)?nèi)容,希望對(duì)大家的學(xué)習(xí)有所幫助,也希望大家多多支持腳本之家。

相關(guān)文章

  • 路由器被蹭網(wǎng)怎么辦

    大家有沒(méi)想過(guò)這樣一個(gè)問(wèn)題:路由器被蹭網(wǎng)后能做些什么
    2016-06-22

  • 兩種方法有效防止硬盤(pán)被黑客程序或惡意代碼非法格式化

    防止黑客程序或惡意代碼非法格式化、修改硬盤(pán)數(shù)據(jù)可以將有關(guān)的DOS命令改名或移動(dòng)到其他目錄中,或者是將危險(xiǎn)的DOS命令加以限制,防止非法使用這些命令對(duì)硬盤(pán)數(shù)據(jù)進(jìn)行破壞
    2014-04-10

  • Linux防火墻偽裝機(jī)制幫您抵抗惡意黑客

    Linux核心本身內(nèi)建了一種稱(chēng)作”偽裝”的簡(jiǎn)單機(jī)制,除了最專(zhuān)門(mén)的黑客攻擊外,可以抵擋住絕大部分的攻擊行動(dòng)
    2013-06-24

  • Linux防火墻偽裝機(jī)制抵抗惡意黑客的詳細(xì)介紹

    在Linux中,由于有許多不同的防火墻軟件可供選擇,安全性可低可高,最復(fù)雜的軟件可提供幾乎無(wú)法滲透的保護(hù)能力。不過(guò),Linux核心本身內(nèi)建了一種稱(chēng)作”偽裝”的簡(jiǎn)單機(jī)制,除
    2013-04-17

  • 分析黑客使用Web進(jìn)行攻擊的10大原因

    1.桌面漏洞 Internet Explorer、Firefox和Windows操作系統(tǒng)中包含很多可以被黑客利用的漏洞,特別是在用戶經(jīng)常不及時(shí)安裝補(bǔ)丁的情況下。黑客會(huì)利用這些漏洞在不經(jīng)用
    2008-10-08

  • 謹(jǐn)防黑客利用微軟DirectShow漏洞傳播木馬

    江民反病毒中心提醒電腦用戶,微軟于美國(guó)時(shí)間5月28日發(fā)布公告,稱(chēng)其操作系統(tǒng)存在一個(gè)DirectShow漏洞,該漏洞可能被黑客大肆利用,傳播大量的木馬病毒。 江民反病毒專(zhuān)家介
    2009-06-08

  • 容易被黑客攻擊的10個(gè)漏洞

      應(yīng)用程序級(jí)的安全漏洞通常不會(huì)像類(lèi)似SirCam的郵件病毒或者諸如Code Red這樣的蠕蟲(chóng)病毒那么容易廣為擴(kuò)散,但它們也同樣會(huì)造成很多問(wèn)題,從竊取產(chǎn)品或信息到使整個(gè)Web站
    2009-05-24

  • 遠(yuǎn)離IE瀏覽器漏洞 避免遭受黑客攻擊的一些小結(jié)

    日常使用中,IE龐大的使用人群和層出不窮的高危漏洞,使它往往很容易受到來(lái)自各方面的影響和攻擊而導(dǎo)致失效。而由于卸載的不便和難以通過(guò)覆蓋安裝解決問(wèn)題,因此很多朋友在
    2009-01-10

  • 黑客如何利用文件包含漏洞進(jìn)行網(wǎng)站入侵

    一、看見(jiàn)漏洞公告   最近想學(xué)習(xí)一下文件包含漏洞,在無(wú)意中看見(jiàn)了關(guān)于文件包含的漏洞公告。大致的意思是這樣的,PhpwCMS 1.2.6系統(tǒng)的下列文件存在文件包含漏洞:includ
    2008-10-08

  • 黑客談MS07-029域名DNS漏洞利用入侵過(guò)程

    前言: MS07-029,Windows 域名系統(tǒng) (DNS) 服務(wù)器服務(wù)的遠(yuǎn)程過(guò)程調(diào)用 (RPC) 管理接口中存在基于堆棧的緩沖區(qū)溢出。漏洞的前提是沒(méi)打補(bǔ)丁,開(kāi)啟DNS服務(wù)的所有版本W(wǎng)INDOWS
    2008-10-08

最新評(píng)論