黑客利用JSONP劫持漏洞跟踪维吾尔族用户

2015年6月16日 | By News | Filed in: News.

Source: http://solidot.org.feedsportal.com/c/33236/f/556826/s/473f474f/sc/24/l/0L0Ssolidot0Borg0Cstory0Dsid0F44445/story01.htm

安全公司AlienVault官方博客报告,黑客入侵了与非政府组织、维吾尔族社区和伊斯兰教相关的中文网站,修改网站内容植入恶意的JS文件,该JS文件利用了中国流行网站(如图所示)的JSONP劫持漏洞,如果用户登录了这些网站,其个人身份信息将会被发送到攻击者控制的服务器。JSONP是常用的绕过同源策略的跨域请求技术,当JSONP包含用户数据时它有可能导致个人信息泄露。这是一种经典的Watering Holes攻击方法,因为利用JSONP劫持漏洞,用户即使使用VPN或Tor也无法防止身份泄露。攻击者被认为与政府有关。研究人员认为,百度淘宝腾讯应该修复它们网站的JSONP劫持漏洞。




发表评论

邮箱地址不会被公开。 必填项已用*标注