Эксперты: сайты yahoo подвержены серьезной уязвимости

Исследовательская компания Netcraft сказала об обнаружении твёрдой уязвимости на сайте Яху. Эксплуатация уязвимости ведет к перехвату идентификационных файлов cookie, которые сервер дает законным юзерам.

При помощи таких веб-сайтов портал различает юзеров и предоставляет им определенные привилегии, к примеру доступ к определенному почтовому коробке.
Спецы компании молвят, что при с Яху для предотвращения перехвата в настройках передачи cookie достаточно показывать параметр HttpOnly, его знают все современные браузеры.
Ранее в этом же году похожая уязвимость была блокирована на еще одном сайте Яху — ychat.help.яху.com, где не считая cookie вероятно было для большей верности забрать и настоящий SSL-сертификат. Тогда кое-какие испанские преступники уже успели пользоваться неосмотрительностью админов портала.

"Тогда как сайт употребляет cookie для открытия сессий аутентификации, очень принципиально защищать значения файлов-cookie и убедиться, что они недосягаемы третьей стороне. Частенько при помощи XSS-уязвимостей доступ к этим данным имеют хакеры, которые и покупают контроль над закрытой часть веб-сайтов либо пользовательскими данными", — молвят в Netcraft.

Перехватив обозначенные файлы-cookie злодей может исходя из убеждений сайта яху.com и его дочерних проектов выступать от имени авторизованного юзера.
В Netcraft докладывают, что перехват вероятен из-за наличия XSS-уязвимости на сайте Яху HotJobs (hotjobs.яху.com). На данном сайте атакующий может ввести злостный JavaScript, что и похитит разыскиваемые сведения.



Код на JavaScript разрешает перехватывать как cookie с сайта HotHobs, так и с неспециализированного портала Яху.

Позднее скрипт передает приобретённые эти по обозначенному адресу.
В обоих случаях, молвят в Netcraft, cookie Яху разрешали взломщикам подделывать пользовательские сессии, разрешающие получить доступ к содержимому почты Яху Mail и других личных сервисов.

Назад

Мотоцикл moto guzzi v7 sport 1973

Далее

В донецкой области прорвало канализацию из-за проседания грунта

  1. Гребенщикова Ольга

    Поддерживаю Крымский парламент.

  2. Еськин Кузьма

    Ложили боливийцы на путина болт

Добавить комментарий