Posts

Showing posts with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 label csrf

Phát hiện lỗi nghiêm trọng trong Yahoo! 360

Lợi dụng lỗi Cross Site Request Forgery của Yahoo! 360, kẻ xấu có thể xóa toàn bộ lời bình (comment) cũng như các bài viết (entry) trong blog của bạn.

Lỗ hổng nghiêm trọng ở chỗ cách khai thác rất dễ dàng. Kẻ xấu chỉ cần dụ bạn truy cập vào một đường link là hắn đã có thể dễ dàng thao túng blog của bạn. Cách tấn công dễ nhất xem chừng là tạo một entry trên Yahoo! 360 chứa các thẻ img liên kết đến các đường link xóa comment. Khi bạn vào đọc entry đó, ngay lập tức comment trong blog của bạn sẽ bị xóa. Thậm chí nếu muốn, khi bạn đang đọc bài viết này, tôi cũng có thể âm thầm xóa comment trên blog của bạn (điều kiện duy nhất là bạn vẫn chưa logout ra khỏi Yahoo!). Meomun, người đầu tiên phát hiện lỗi này, cho biết cách làm này có thể xóa luôn cả entry và toàn bộ blog của bạn. Để tự bảo vệ mình, bạn nên:
logout ra khỏi Yahoo! ngay khi sử dụng xong.tắt chức năng tải img trong trình duyệt
Cross Site Request Forgery là một lỗi hết sức phổ biến và cực kì lợi hại. Chính sự kết hợp giữa XSS và CSRF…