div> tour du lich da lat gia re
dien dan Rao Vat dien dan rao vat

Đặt Khach San Da Lat giá rẻ cùng khách sạn đà lạt 3 sao gần hồ xuân hương tại website Khachsandalat.pro tặng tour du lịch đà lạt 130k

Phát hiện lỗ hổng trong hệ thống bảo mật của Yahoo Mail

Thảo luận trong 'Computer' bắt đầu bởi trinhthien, 12/12/16.

Lượt xem: 50

  1. trinhthien

    trinhthien Member

    Tham gia ngày:
    18/5/16
    Bài viết:
    36
    Đã được thích:
    0
    Tháng trước tin tức Yahoo mail phát hiện được một lỗ hổng trong hệ thống bảo mật. Lỗi này đơn giản tưởng chừng như không nghiêm trọng nhưng thực ra lại rất nghiêm trong. Liệu mức độ lớn ra sao? >> ổ cứng western digital 320gb

    Jouko đã kiểm tra lại một lần nữa, lần này là với một đường link YouTube trong nội dung email. Và đúng như mong muốn, đường link YouTube được Yahoo Mail “trang bị” thêm kha khá thẻ thuộc tính HTML, trong đó cũng bao gồm các thuộc tính dạng “data-”. Anh đã thử thay đổi nội dung trong các thẻ dạng này, và nhận ra rằng: miễn là nội dung trong thẻ “data-url” vẫn thuộc về một website dạng white-listed như YouTube, thì Yahoo Mail sẽ không kiểm tra phần nội dung thêm vào sau kí tự ngoặc kép của HTML.

    [​IMG]

    Khi email trên được gửi đi, một thẻ hình ảnh (thẻ IMG) với cửa sổ thông báo lỗi trong thuộc tính onerror sẽ hiện lên màn hình. Điều này hoàn toàn đồng nghĩa với việc kẻ tấn công có thể thực thi một đoạn mã JavaScript với mục đích xấu.

    Theo Jouko giải thích, lỗ hổng này cũng ở dạng XSS dựa trên mô hình DOM (Document Object Model) như những gì anh tìm ra năm ngoái. Lỗi này xảy ra khi một thẻ markup của HTML được tạo ra bởi JavaScript rồi chèn vào phần nội dung bằng cách thay đổi nội dung innerHTML của một thẻ nào đó, hoặc khi gọi hàm ghi đè tác động lên DOM mà không kiểm tra đầy đủ giá trị nhập vào từ người sử dụng.

    Jouko Pynnönen đã gửi một phiên bản “nguy hiểm” hơn của trường hợp test bên trên tới Yahoo, với nội dung là một email có khả năng cho phép hacker đọc hòm thư của người nhận vào ngày 12 tháng 11 vừa rồi. Sau hơn 2 tuần làm việc thì Yahoo đã đưa ra bản vá vào ngày 29, đồng thời cũng không quên tặng thưởng Jouko 10.000$ giống như lần phát hiện trước.

    Chúng ta vẫn chưa thể biết được, liệu có ai đã phát hiện và lợi dụng lỗ hổng này hay chưa. Vì trong giới hacker, bên cạnh những anh chàng “mũ trắng” như Jouko giúp hoàn thiện bảo mật các sản phẩm tốt hơn, vẫn còn đó lực lượng “mũ đen” hùng hậu lợi dụng mọi lỗ hổng bảo mật nhằm đạt mục đích cá nhân. Cũng dễ hiểu, khi 10.000$ có lẽ vẫn là con số nhỏ, so với những gì mà những kẻ tấn công có thể thu về từ những lỗ hổng trên các dịch vụ lớn cỡ Yahoo. Còn với người dùng phổ thông, có lẽ sau mỗi lần tấn công nhắm tới các dịch vụ lớn, để có thể chắc chắn về tính bảo mật, chúng ta cũng nên thay đổi hệ thống mật khẩu của mình.

    Mời bạn liên hệ
    CÔNG TY TNHH TM & TIN HỌC TRUYỀN THÔNG TAT
    Add: 120 Thanh Nhàn - Quận Hai Bà Trưng - Hà Nội
    Phone: 043.636.9851 - Mobile: 0976.201.829
     

    Bình Luận Bằng Facebook