jointowork
03-26-2009, 03:23 AM
Ngày 10/2, trên một trang web về bảo mật đã thông tin về một trang con về remix video clip online của yahoo bị lỗi XSS ( Cross Site Scripting). Một số hacker đã chèn được mã độc lên trên trang chủ, dẫn đến tình trang khi người dùng truy cập vào trang web này đều bị mất cookies của website, với những cookies này thì hacker hoàn toàn có thể lấy được tài khoản của website này của người dùng.
Theo tìm hiểu của nhóm vnsecurity.vn (http://vnsecurity.vn/?phpMyAdmin=06d98ef168b26e0c57f80c3fbd7b564a) thì trang bị lỗi là: http://timetags.research.yahoo.com (http://timetags.research.yahoo.com/), đây là một trang con về video clip của yahoo, lỗi XSS được tìm thấy tại phần title của mục post REMIX. Hacker đã tìm cách chèn một đoạn mã ăn cắp cookies, sau đó được lưu tại địa chỉ LogosLogic (http://logic.justwilliams.com/)
. Đây là một lỗi cực kỳ nghiêm trọng vì hacker có thể cài mã độc vào website, chiếm tài khoản yahoo của khách hàng. . .
Sau khi kiểm chứng lại lỗi XSS, nhóm vnsecurity.vn (http://vnsecurity.vn/?phpMyAdmin=06d98ef168b26e0c57f80c3fbd7b564a) đã tìm cách liên lạc với yahoo, hiện tại website đã được đưa xuống để khắc phục sự cố!
Dưới đây là một vài hình ảnh:
http://img155.imageshack.us/img155/7682/yahoo1xq2.jpg (http://img155.imageshack.us/img155/7682/yahoo1xq2.jpg)
http://img230.imageshack.us/img230/6137/yahoo2ky3.jpg (http://img230.imageshack.us/img230/6137/yahoo2ky3.jpg)
Dưới đây là tin bài của báo Lao động:
(LĐ) - Một trang web của Yahoo! đã bị lỗi bảo mật và tin tặc có thể chèn các mã độc vào trang web này, chuyển người dùng truy cập vào trang web này sang một trang web độc hại khác do tin tặc tạo ra từ trước.
Trang web về video clip trực tuyến (http://timetags.research.yahoo.com/) của Yahoo! đã dính lỗi XSS (Cross Site Scripting). "Lỗi này được một trang web về bảo mật công bố ngày 10.2. Tin tặc đã tìm cách chèn một đoạn mã ăn cắp cookies, sau đó được lưu tại địa chỉ LogosLogic (http://logic.justwilliams.com/). Đây là một lỗi cực kỳ nghiêm trọng vì hacker có thể cài mã độc vào website, chiếm tài khoản yahoo của người dùng...", một chuyên gia của vnsecurity.vn phân tích.
Sau khi phát hiện, phân tích và xác định rõ lỗi bảo mật, vnsecurity.vn đã thông báo tới Yahoo!. Hiện tại (12.2), trang web này đã được tắt tạm thời đưa xuống để khắc phục sự cố!
Không chỉ gã khổng lồ trong lĩnh vực trực tuyến Yahoo!, trong tuần qua, một loạt các trang web của các Cty bảo mật lớn trên thế giới như Kaspersky, Bitdefender, F-secure.com liên tục bị tấn công bằng lỗi SQL injection và XSS!
"Với lỗi SQL injeciton, tin tặc đã khai thác được nhiều thông tin về hệ thống, tài khoản đăng nhập và cả thông tin khách hàng. Đây là một lỗi không mới, tuy nhiên nếu như lập trình viên không rà soát lại các câu truy vấn thì vẫn dễ dàng bị tin tặc lợi dụng để xâm nhập vào website", chuyên gia của vnsecurity.vn cho biết.
Cũng theo vnsecurity.vn, website của BitDefender.pt của Bồ Đào Nha, mặt dù đã có thông báo lỗi cách đây vài ngày nhưng khi nhóm kiểm tra lại vẫn phát hiện còn lỗi. Từ lỗi SQL injection này, nhóm đã khai thác khá nhiều thông tin nhạy cảm như tài khoản/mật khẩu, thông tin khách hàng... chỉ bằng những lệnh truy vấn SQL đơn giản. Nhóm vnsecurity.vn đã gửi mail để thông bảo về lỗi cho Bitdefeder Bồ Đào Nha.
Đỗ Trọng
(theo báo Lao Động)
Theo tìm hiểu của nhóm vnsecurity.vn (http://vnsecurity.vn/?phpMyAdmin=06d98ef168b26e0c57f80c3fbd7b564a) thì trang bị lỗi là: http://timetags.research.yahoo.com (http://timetags.research.yahoo.com/), đây là một trang con về video clip của yahoo, lỗi XSS được tìm thấy tại phần title của mục post REMIX. Hacker đã tìm cách chèn một đoạn mã ăn cắp cookies, sau đó được lưu tại địa chỉ LogosLogic (http://logic.justwilliams.com/)
. Đây là một lỗi cực kỳ nghiêm trọng vì hacker có thể cài mã độc vào website, chiếm tài khoản yahoo của khách hàng. . .
Sau khi kiểm chứng lại lỗi XSS, nhóm vnsecurity.vn (http://vnsecurity.vn/?phpMyAdmin=06d98ef168b26e0c57f80c3fbd7b564a) đã tìm cách liên lạc với yahoo, hiện tại website đã được đưa xuống để khắc phục sự cố!
Dưới đây là một vài hình ảnh:
http://img155.imageshack.us/img155/7682/yahoo1xq2.jpg (http://img155.imageshack.us/img155/7682/yahoo1xq2.jpg)
http://img230.imageshack.us/img230/6137/yahoo2ky3.jpg (http://img230.imageshack.us/img230/6137/yahoo2ky3.jpg)
Dưới đây là tin bài của báo Lao động:
(LĐ) - Một trang web của Yahoo! đã bị lỗi bảo mật và tin tặc có thể chèn các mã độc vào trang web này, chuyển người dùng truy cập vào trang web này sang một trang web độc hại khác do tin tặc tạo ra từ trước.
Trang web về video clip trực tuyến (http://timetags.research.yahoo.com/) của Yahoo! đã dính lỗi XSS (Cross Site Scripting). "Lỗi này được một trang web về bảo mật công bố ngày 10.2. Tin tặc đã tìm cách chèn một đoạn mã ăn cắp cookies, sau đó được lưu tại địa chỉ LogosLogic (http://logic.justwilliams.com/). Đây là một lỗi cực kỳ nghiêm trọng vì hacker có thể cài mã độc vào website, chiếm tài khoản yahoo của người dùng...", một chuyên gia của vnsecurity.vn phân tích.
Sau khi phát hiện, phân tích và xác định rõ lỗi bảo mật, vnsecurity.vn đã thông báo tới Yahoo!. Hiện tại (12.2), trang web này đã được tắt tạm thời đưa xuống để khắc phục sự cố!
Không chỉ gã khổng lồ trong lĩnh vực trực tuyến Yahoo!, trong tuần qua, một loạt các trang web của các Cty bảo mật lớn trên thế giới như Kaspersky, Bitdefender, F-secure.com liên tục bị tấn công bằng lỗi SQL injection và XSS!
"Với lỗi SQL injeciton, tin tặc đã khai thác được nhiều thông tin về hệ thống, tài khoản đăng nhập và cả thông tin khách hàng. Đây là một lỗi không mới, tuy nhiên nếu như lập trình viên không rà soát lại các câu truy vấn thì vẫn dễ dàng bị tin tặc lợi dụng để xâm nhập vào website", chuyên gia của vnsecurity.vn cho biết.
Cũng theo vnsecurity.vn, website của BitDefender.pt của Bồ Đào Nha, mặt dù đã có thông báo lỗi cách đây vài ngày nhưng khi nhóm kiểm tra lại vẫn phát hiện còn lỗi. Từ lỗi SQL injection này, nhóm đã khai thác khá nhiều thông tin nhạy cảm như tài khoản/mật khẩu, thông tin khách hàng... chỉ bằng những lệnh truy vấn SQL đơn giản. Nhóm vnsecurity.vn đã gửi mail để thông bảo về lỗi cho Bitdefeder Bồ Đào Nha.
Đỗ Trọng
(theo báo Lao Động)