互聯網搜索公司Netcraft的工具條檢測到雅虎網站有一個跨站腳本安全漏洞。利用這個安全漏洞能夠竊取身份識別cookies。
Netcraft公司的Paul Mutton本周一在博客中說,這個安全漏洞存在于雅虎HotJobs搜索引擎網站。黑客在這個網站上嵌入了惡意的JavaScript代碼。
Mutton說,這個腳本竊取發送到雅虎網站域名的身份識別cookies,然后把這些cookies發送到美國的不同網站。黑客在那些網站搜集這些竊取的身份識別細節資料。
這種偷竊的證書能夠讓攻擊者訪問受害人的雅虎賬戶,包括雅虎郵件服務的賬戶。這個安全漏洞與今年早些時候影響雅虎其它網站的另一個安全漏洞類似。
Mutton說,訪問雅虎網站的惡意URL地址就足以使受害人成為攻擊者的獵物,讓攻擊者獲取受害訪問進程中的cookies,從而獲得訪問受害人雅虎郵件賬戶的權限。攻擊者完成這個過程甚至都不需要輸入用戶名和秘密。攻擊者給受害人發送一個空白網頁,使受害人想不到自己的賬戶已經被攻破了。
Mutton指出,網站必須保護cookie值。Netcraft已經向雅虎通報了這個安全漏洞。本周一沒有找到雅虎發言人對此發表評論
