小红伞(Avira)曝严重漏洞 黑客可劫持用户账户
摘要: 著名的杀毒软件小红伞Avira是一款免费的安全软件,然而其安全备份服务却存在着严重的Web应用漏洞,从而导致攻击者可以劫持用户账户,数百万用户就有可能这不小心成为了“刀俎之肉”。 小红伞(Avira)曝严重漏洞,黑 ...
著名的杀毒软件小红伞Avira是一款免费的安全软件,然而其安全备份服务却存在着严重的Web应用漏洞,从而导致攻击者可以劫持用户账户,数百万用户就有可能这不小心成为了“刀俎之肉”。 小红伞(Avira)曝严重漏洞,黑客可劫持用户账户 Avira这一著名的免费安全软件,它的自身实时防护模块和安全备份服务都很受欢迎。Avira被评为2012年度第六大杀毒软件供应商,并在世界各地拥有1000多万的用户。 一名16岁的埃及安全研究员Mazen Gamal最新发现,Avira网站存在CSRF漏洞,他可以劫持用户账号并访问用户的在线安全云备份文件。 利用CSRF实现用户劫持 CSRF(Cross-site request forgery跨站请求伪造,也被称为one click attack或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。攻击者往往通过伪装来自受信任用户的请求来利用受信任的网站实现攻击。 Gamal进一步解释,一般来说攻击者利用CSRF漏洞诱骗受害者访问一个恶意请求,在受害者点击这个URL连接的瞬间,实现Avira账户ID的邮箱地址替换。 关于备份文件 当攻击者实现Avira的邮箱地址替换后,攻击者可以通过忘记密码选项,重置密码的链接会发送到攻击者的邮箱,从而很容易的重置受害者的账号密码。 一旦账户被劫持,攻击者就可以使用相同的凭证登陆到受害者的在线备份软件和https://dav.backup.avira.com/,进而获取受害者该Avira账户下所有的在线备份文件。 Gamal在给The Hacker News的邮件中提及:我发现了一个CSRF漏洞,可以对任何Avira账户进行劫持,通过打开受害者的备份文件,可以查看其Avira用户许可证。 在8月20日的时候,Gamal已经将该漏洞提交给Avira安全团队,该团队也积极响应这一漏洞并修补其网站的漏洞。但是在Avira为本地文件解密提供一个离线password layer之前,他的在线安全备份服务仍然很容易受到黑客的攻击。
|
下一篇:利用ORACLE的system帐户默认口令提升权限
上一篇:小米手机MIUI远程代码执行漏洞分析
支持 |
超赞 |
难过 |
搞笑 |
扯淡 |
不解 |
头晕 |
欠扁 |
特别推荐
- 2024-01-16号称全球最安全iPhone手机系统再遭攻击,国
- 2024-01-16第七代伊兰特有奖知识答题的题目及答案
- 2024-01-16如何继续推进实践基础上的理论创新?
- 2024-01-16十年来,我们经历了哪三件大事?
- 2024-01-16党的二十大的主题是什么?
- 2024-01-16什么是中国式现代化?
- 2024-01-16全面建成社会主义现代化强国的战略安排是什
- 2024-01-16全面建设社会主义现代化国家的首要任务是什
- 2024-01-16前进道路上必须牢牢把握的重大原则是什么?
- 2024-01-16如何推进美丽中国建设
-
今天点击最高的新闻
-
一周点击最多的新闻
- 01-16号称全球最安全iPhone手机系统再遭
- 01-16第七代伊兰特有奖知识答题的题目及
- 01-16如何继续推进实践基础上的理论创新
- 01-16十年来,我们经历了哪三件大事?
- 01-16党的二十大的主题是什么?
- 01-16什么是中国式现代化?
- 01-16全面建成社会主义现代化强国的战略
- 01-16全面建设社会主义现代化国家的首要
- 01-16前进道路上必须牢牢把握的重大原则
- 01-16如何推进美丽中国建设
淘客联盟为网络淘客、赚客、黑客、红客提供全面的业界资讯,还提供最丰富的网站社区、相关教程与技巧供新手们学习,
多年来我们一直致力于为淘客、赚客、黑客与红客提供丰富的技术内容与资源。程序支持Disucz!X X3.5版本
Copyright © 2008-2014 WWW.TAOKE-CN.CN online services. All rights reserved.
Template designed by rein.In ReinNT.Inc ( 湘ICP备14013968号-3 )
多年来我们一直致力于为淘客、赚客、黑客与红客提供丰富的技术内容与资源。程序支持Disucz!X X3.5版本
Copyright © 2008-2014 WWW.TAOKE-CN.CN online services. All rights reserved.
Template designed by rein.In ReinNT.Inc ( 湘ICP备14013968号-3 )