雅虎HotJobs网站发现跨站脚本攻击安全漏洞

　　互联网搜索公司Netcraft的工具条检测到雅虎网站有一个跨站脚本安全漏洞。利用这个安全漏洞能够窃取身份识别cookies。

　　Netcraft公司的Paul Mutton本周一在博客中说，这个安全漏洞存在于雅虎HotJobs搜索引擎网站。黑客在这个网站上嵌入了恶意的JavaScript代码。

　　Mutton说，这个脚本窃取发送到雅虎网站域名的身份识别cookies，然后把这些cookies发送到美国的不同网站。黑客在那些网站搜集这些窃取的身份识别细节资料。

　　这种偷窃的证书能够让攻击者访问受害人的雅虎账户，包括雅虎邮件服务的账户。这个安全漏洞与今年早些时候影响雅虎其它网站的另一个安全漏洞类似。

　　Mutton说，访问雅虎网站的恶意URL地址就足以使受害人成为攻击者的猎物，让攻击者获取受害访问进程中的cookies，从而获得访问受害人雅虎邮件账户的权限。攻击者完成这个过程甚至都不需要输入用户名和秘密。攻击者给受害人发送一个空白网页，使受害人想不到自己的账户已经被攻破了。

　　Mutton指出，网站必须保护cookie值。Netcraft已经向雅虎通报了这个安全漏洞。本周一没有找到雅虎发言人对此发表评论。

我们一直都在努力坚持原创.......请不要一声不吭，就悄悄拿走。

我原创，你原创，我们的内容世界才会更加精彩！

【所有原创内容版权均属TechTarget，欢迎大家转发分享。但未经授权，严禁任何媒体（平面媒体、网络媒体、自媒体等）以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget

官方微博

TechTarget中国