وی که ازطریق حفره امنیتی صفر روزه cross-site scripting توانسته باگ موجود در برنامه ایمیل یاهو را پیدا کرده و از طریق برنامه ای کوچک ، هک انرا تجاری کند؛ در این ویدئو نشان داده به آسانی اکانت یاهو هک می شود و در بازار سیاه زیرزمینی هکرها قابل خرید و فروش است.
از طریق این باگ صفر روزه می توان کوکی روی کامپیوتر قربانی را سرقت کرده و بعد از روی کوکی اکانت مذکور را شکسته و پسورد آنرا به نفع حمله کننده تغییر داد.
هکری که این برنامه را ساخته می گوید از روی تمام مرورگرها می توان اکانت یاهو را هک کرد و نیازی به بای پس اینترنت فیلتر روی اکسپلورر یا کروم نیست.
بدنبال انتشار این ویدئو یاهو تحقیقات امنیتی خود در این زمینه را آغاز کرده است.
رامسس مارتینز مدیر امنیتی یاهو اعلام کرد با تغییر یک کد ساده می توان جلوی حفره و نفوذ از راه XSS را گرفت. وی قول داد در عرض چند ساعت مشکل یوآر ال حفره دار را نیز حل کند.
حفره های XSS جزو باگهای همیشگی در اپلیکیشن های تحت وب شده است.
سایت xssed.com سایت جمع آوری کننده در زمینه حفره روی XSS هاست و می توان نمونه های مشابه آنچه در این خبر ذکر شده است را پیدا کرد.
منبع: د رجیستر، نیکید سکیوریتی
56502
نظر شما