第11届黑帽大会在美国拉斯维加斯举行,共历时5天,上周四正式结束。本周五,2007年Defcon黑客大会也在拉斯维加斯悄然召开,预计参会人数将超过去年的5000人。随着社交网络热潮的兴起,如何突破有密码保护的社交网站已经成为黑客和计算机安全专家一个非常感兴趣的研究课题。
今年21岁的美国俄亥俄州黑客里克·戴肯(Rick Deacon)表示,他发现MySpace存在“零日”漏洞,黑客可以利用这一漏洞控制个人页面,甚至植入恶意代码。到目前为止,这一漏洞尚未修复。戴肯计划本周日公开演示自己的发现,但据他称,这一漏洞仅影响老版本火狐浏览器,而不会影响IE浏览器。
在这类攻击中,黑客利用了一个名为“跨网站脚本”的漏洞。通过这一漏洞,黑客可以在他人的网页中植入恶意代码。安全专家表示,很多网络应用都存在这一漏洞,但社交网站尤为突出,因为用户每天都会发布大量的内容,服务提供商难以有效地校验和管理。戴肯表示,由于存在上述漏洞,如果用户点击一个指向其它网页的链接,存储在自己计算机内的“Cookie”信息就可能被窃取。
据戴肯称,他早在几个月前就发现了这一漏洞,并通知了MySpace。但到目前为止,MySpace仍未修复该漏洞。他说:“Facebook和MySpace更愿意修复自己发现的漏洞,但它们的网站存在数百个跨网站脚本漏洞,不可能全部依靠自己发现。”MySpace发言人还没有就此发表评论,但该公司在声明中称:“拥有一支快速响应、全天候的安全团队是我们的职责,我们也做到了这一点。”
Errata安全公司CEO罗伯特·格拉汉姆(Robert Graham)也演示了自己的一个攻击程序,它可以“潜伏”在一台公共无线网络的计算机上,窃取用户的“Cookie”信息,或者“劫持”用户电子邮件帐户和社交网站个人网页。在现场展示中,他成功截获了一名观众的Gmail帐户。当然,如果这名观众试用了加密版的Gmail,格拉汉姆的程序将无法获得成功。到目前为止,谷歌还没有就此发表评论。
网友评论