2015年6月15日星期一

阅收藏:黑客利用JSONP劫持漏洞跟踪维吾尔族用户

安全公司AlienVault官方博客报告,黑客入侵了与非政府组织、维吾尔族社区和伊斯兰教相关的中文网站,修改网站内容植入恶意的JS文件,该JS文件利用了中国流行网站(如图所示)的JSONP劫持漏洞,如果用户登录了这些网站,其个人身份信息将会被发送到攻击者控制的服务器。JSONP是常用的绕过同源策略的跨域请求技术,当JSONP包含用户数据时它有可能导致个人信息泄露。这是一种经典的Watering Holes攻击方法,因为利用JSONP劫持漏洞,用户即使使用VPN或Tor也无法防止身份泄露。攻击者被认为与政府有关。研究人员认为,百度淘宝腾讯应该修复它们网站的JSONP劫持漏洞。







via Solidot

没有评论: