知名安全厂商官网存跨站脚本漏洞 成钓鱼工具

2008年6月11日消息，据国外媒体报道，XSSed的调查中发现，在McAfee、Symantec、 VeriSign等公司的站点中发现了跨站脚本漏洞。

在大家讨论黑客们经合法网站发动攻击的时候，可能没有人认为主要安全厂商的站点存在着漏洞。

但是，根据一家安全监察站点星期一发布的一份报告，得出了相反的结论。这家XSSed站点谈到，它已经确认了大约30个跨站漏洞在行业内三个最著名的安全厂商中传播：McAfee、 Symantec 及 VeriSign。这些漏洞使得攻击者能够从这些站点发动钓鱼攻击，或者将恶意软件发布给公司的客户。

近来的研究显示出，基于Web的攻击正越来越多地从被人们信任的、合法网站发起，而不是从那些草率建起的站点和由攻击者建立的服务器发动。通过利用合法网站的漏洞，攻击者可以赢得钓鱼攻击的可信性，或者获得恶意软件链接并绕过可以阻止已知钓鱼站点黑名单的安全工具。

XSSed的创始人之一Kevin Fernandez说，这份新的报告显示出这些大的安全厂商的站点在这种趋势中也绝不例外。“这显示出任何公司都可被XSS（跨站脚本攻击）感染，”他说。事实上，Fernandez说，一些攻击者特别地针对McAfee、Symantec、VeriSign等公司的站点进行漏洞搜索。

安全顾问公司SecTheory 的首席执行官Robert Hansen (aka RSnake) 说， “不幸的是，许多网站趋于遭受一些相对简单的漏洞所带来的痛苦。这更加糟糕，虽然同样的一些鼓吹安全的安全厂商通常也像其它公司一样需要帮助。这让我们相信，知道了问题并不意味着你就对问题具有免疫力。”

WhiteHat Security 安全公司的CTO Jeremiah Grossman指出，这是McAfee和 Symantec等公司的XSS漏洞首次暴露在网站上。 早在一月份的时候，XSSed就报告了这样一个事实：收到McAfee 扫描警告服务“免于黑客攻击”标签的大约60家站点都易于遭受XSS攻击。

同时，扫描警告“免于黑客攻击”项目的企业服务主管Joseph Pierini认为，XSS漏洞可能不被用于攻击一个服务器。“你可以用它做其它一些事情。你可以用它做一些影响终端用户或客户端的事情。不过受到服务器保护的数据库中的客户数据并不可能直接受到跨站脚本攻击的损害。”

赛门铁克的安全响应主管Oliver Friedrichs 在一月份XSSed报告之后发表了这样的观点，“XSS漏洞确实展示出一种严重的风险。然而，到目前为止，其真正的使用却受到了限制。XSS漏洞可以导致窃取会话的cookies、网站的登录凭证，并可以滥用信任关系。XSS漏洞是针对特定网站的，所以其生命周期是受到了限制；一旦被发现并被网站的所有者修复，它们就灰飞烟灭了。”

但Fernandez和Grossman都指出，近来发生的大量攻击都利用了主要网站中的XSS漏洞,这些网站包括MySpace、 Paypal和一些主要的意大利银行。

Grossman 说，“我们是否担心跨站脚本攻击问题呢？是的，不过不是因为这些主要的安全厂商在其网站上存在着XSS漏洞，Symantec 和 McAfee确实在Web应用程序安全方面并不太擅长—它们主要关注反病毒和反恶意软件。”

Grossman 说，“主要应当担心那些更受欢迎的站点和电子商务站点，如银行、信用联盟、社交网络、网店等。这是企业和用户会发生最大损失的地方，而这里也正是那些不良分子别有用心的地方。”

标签： 安全 电子商务 服务器 脚本 漏洞 媒体 数据库 搜索 网络

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。