網域名稱俱樂部


返回   網域名稱俱樂部 > 電腦與網路技術 > 數位化世界新聞與觀察評論

回覆
 
主題工具
  #1  
舊 2006-11-23, 02:19 PM
哈啦 的頭像
哈啦 哈啦 目前離線
論壇管理員
 
註冊日期: 2002-05-28
文章: 23,059
預設 Firefox、IE易受假登入頁面呼

CNET新聞專區:Tom Espiner
23/11/2006
原文網址 : http://taiwan.cnet.com/news/software...0112008,00.htm


Mozilla的Firefox 2與微軟Internet Explorer 7瀏覽器有安全漏洞,可能讓駭客鑽漏洞盜取使用者密碼。

這種安全漏洞稱為「反向跨站請求」(reverse cross-site request;簡稱RCSR),由Robert Chapin最先發現。根據Chapin Information Services (CIS)網站,此漏洞可能讓駭客透過偽造的登入頁面竊取使用者名稱與密碼。Firefox密碼管理員會自動輸入任何預存的密碼及使用者名稱,隨後資料被自動傳至駭客的電腦,使用者毫不知情。

Chapin表示,已有人把這個安全漏洞的攻擊程式用在社交網站MySpace.com上,凡瀏覽允許網友加入自編HTML程式碼的部落格或公共論壇者,都可能受影響。

Chapin說:「Firefox和IE的使用者必須留意,造訪所信賴的部落格和論壇網站時,個人資料可能因此而遭到竊取。」

發現MySpace上已有人利用此漏洞的資安公司Netcraft表示,造假的登入頁面正架設在自家的伺服器上。

CIS指出,由於網頁未顯示任何外來內容的跡象,例如XSS (cross-site scripting)或「開放式重新導向」(open redirects),網頁顯得「似乎可以信任,就連安全警覺性高的使用者也可能受害」。

這種攻擊從簡介頁面(profile page)發動攻擊,用特製的HTML隱藏正宗的MySpace內容,轉為顯示自製的登入表格。

Chapin拍出,RCSR攻擊比XSS攻擊更容易成功,因為不論是IE或Firefox,都不會在使用者傳出填寫資料之前,先檢查表格資料會傳往何處。瀏覽器不會示警,因為駭客是在受信任的網站上鑽這種安全漏洞。

兩周前,CIS即通知Mozilla說,Firefox網頁瀏覽器會自動在RCSR表格填入預存的使用者名稱與密碼。這類攻擊在Firefox瀏覽器得逞的機率比較高,因為IE瀏覽器不會自動填入預存的使用者名稱和密碼,除非RCSR表格與正宗的登入表格都出現在同一個網頁上。

Mozilla尚未釋出修補程式。該組織據說已著手準備Firefox 2的修補程式,但目前尚不知舊版瀏覽器是否也受影響。

資安公司Secunia建議,使用者宜關閉Firefox個人偏好選項中的「記憶網站登入密碼」(Remember passwords for sites)功能。

要利用這個安全漏洞,駭客必須在信任的網站上偽造一個登入表格。因此,CIS建議,所有網管人員檢查自己的伺服器程式碼是否被摻入XSS和RCSR,加密網站的管理員尤其要小心。

CIS網站上的公告說:「這些攻擊能有效入侵有防火牆保護的本地網路伺服器(LNS)和 HTTPS位址,因為駭客不需要直接存取。」(唐慧文/譯)
__________________
咖啡走路
微博


您是網站站長嗎?歡迎到站長俱樂部 一起討論吧。
按我看版規
code.club
回覆時引用此篇文章
  #2  
舊 2006-11-25, 04:11 AM
zhenkun zhenkun 目前離線
初級會員
 
註冊日期: 2006-11-21
文章: 13
預設

天啊...
我還是用舊版的好了...
回到用IE6.0的時代...
回覆時引用此篇文章
回覆

主題工具

發文規則
不可以發表新主題
不可以發表回覆
不可以上傳附件
不可以編輯自己的文章

啟用 BB 代碼
論壇啟用 表情符號
論壇啟用 [IMG] 代碼
論壇禁用 HTML 代碼



所有時間均為 +8。現在的時間是 02:06 AM


本站主機由網易虛擬主機代管
Powered by vBulletin® 版本 3.8.4
版權所有 ©2000 - 2024,Jelsoft Enterprises Ltd.