阅收藏：黑客利用JSONP劫持漏洞跟踪维吾尔族用户

安全公司AlienVault官方博客报告，黑客入侵了与非政府组织、维吾尔族社区和伊斯兰教相关的中文网站，修改网站内容植入恶意的JS文件，该JS文件利用了中国流行网站（如图所示）的JSONP劫持漏洞，如果用户登录了这些网站，其个人身份信息将会被发送到攻击者控制的服务器。JSONP是常用的绕过同源策略的跨域请求技术，当JSONP包含用户数据时它有可能导致个人信息泄露。这是一种经典的Watering Holes攻击方法，因为利用JSONP劫持漏洞，用户即使使用VPN或Tor也无法防止身份泄露。攻击者被认为与政府有关。研究人员认为，百度淘宝腾讯应该修复它们网站的JSONP劫持漏洞。







via Solidot