网络新闻及广告公司雅虎的技术人员近日修复了一个该公司旗下HotJobs网站的漏洞,此举将挽救几千名身份盗窃受害者。HotJobs是居领导地位的招聘网站之一,注册会员数以万计。
这次的问题是一个跨站脚本(cross-site scripting)漏洞,最早是由互联网服务企业Netcraft发现,并在本周日通知了雅虎公司。Netcraft表示,他们今年年初在雅虎的ychat.help.yahoo.com网站也发现了一个类似问题。
在这两件案例中,攻击者通过注入恶意的JavaScript代码,可以盗取访问者的身份验证cookies。Netcraft指出,攻击者能利用这些cookies来访问受害人的雅虎邮箱等任何其他可用cookies访问的Yahoo.com域名中的账户。
JavaScript作为一种全球性的目标语言,专家们认为它是造成所有跨站脚本攻击的根源。如果加上SQL注入攻击,其将占据所有网络攻击的六成。
Breach Security的应用安全总裁Ryan Barnett解释说,恶意的JavaScript代码能一直蛰伏在受害人浏览器中并监视他(或她)的活动,直至受害人访问一些会暴露其个人信息的账户。在这个时候,恶意脚本会偷取其个人或者银行资料,然后发送回攻击者的网站。
黑客们还很懂得与时俱进。“黑客们尝试注入数据库的JavaScript会不断升级,以便能获得更多机会被上传到用户的浏览器标题,”Barnett对InternetNews.com说。
不过,如果有人想未经授权访问一个雅虎邮箱账户的话,这并不是必须的,这一点可以从近期美国副总统候选人、阿拉斯加州州长莎拉·佩琳的雅虎邮箱被黑一事得到证实。
雅虎公司在一份声明邮件中表示,HotJobs网站的漏洞在几小时内已经修复。雅虎强烈建议用户们修改自己的雅虎账号密码以确保安全。
雅虎发言人Emily Fox对InternetNews.com表示,公司将遵循现有的疗程来防御网络攻击。她补充说,作为门户网站,雅虎会始终小心翼翼,防止这类事情的发生。
McAfee安全研究及通讯总裁Dave Marcus表示,这需要对代码和应用程序进行详细检查。他补充说,在检验过程中,任何错误都会导致网站被黑客所控制并被用来分发恶意软件。
雅虎网站上提供了一份在线安全指引(http://security.yahoo.com/),此外,上面还有链接方便消费者举报网络诈骗。
“安全是一个全行业问题,雅虎对此非常重视,”雅虎说。“雅虎将用户安全摆在第一位,未来将继续坚决、有效地打击恶意行为和保护用户。”