原标题:麦当劳官网遭爆有XSS漏洞,可解密窃取用户密码
示意图,与新闻事件无关。
图片来源:McDonalds.com
荷兰资安研究人员Tijme Gommers近日揭露全球速食连锁商店麦当劳(McDonald’s)的官方网站(McDonalds.com)藏匿了两个安全漏洞,将允许骇客解密用户的密码,还能取得用户的姓名及地址等通讯细节。
Gommers在麦当劳官网所发现的两个漏洞分别是加密储存漏洞与跨站指令码(Cross-site Scripting)漏洞。Gommers说明,当使用者要登入麦当劳网站时,有一选项是要求该站记住密码,方便日后直接登入,然而,麦当劳却将密码储存在cookie中,而且可于客户端执行解密,而让骇客有机会取得麦当劳用户的明文密码。
骇客必须先利用XSS漏洞来窃取使用者的cookie,然后再解密存放在cookie中的密码。
虽然揭露了安全漏洞,但Gommers却惹来安全社群的挞伐,因为他是在去年的12月24日通知麦当劳,因未取得麦当劳的回应,于是于今年1月5日便对外公开漏洞。
安全社群指出,这段期间真正的工作日只有5天,更何况它还是员工的休假旺季,批评Gommers破坏了责任揭露的精神。
相关:
骇客钓鱼新花招!骇客假冒好友寄Gmail用户钓鱼信件,出现伪造身份验证页面窃取用户资料
图片来源: Wordfence 资安外挂工具开发团队Wordfence近日发现一种新型态的Gmail钓鱼手法,骇客假冒熟人名义寄发钓鱼信件给Gmail用户,内附一张与钓鱼对象生活相关的缩图图片,若打开这张图片缩图,会跳出一个伪造的G
(优活健康网记者徐平/综合报道)“医生,我的嘴巴小水泡怎么都好不了,会不会是癌症?”、“医生,我咬破嘴巴水泡,怎么好了没几天又长了?”牙科及口腔颚面外科门诊中,常见病人因下嘴唇处突起肿块而求诊,主要症
图片来源: WhatsApp 安全专家指出WhatsApp中一项设计,可能让用户通讯内容被骇客或政府单位等第三方人士监听。不过这个说法遭到WhatsApp的技术合作厂商否认。?密码专家暨加州大学教授Tobias Boelter去年即已揭露What
国内高端童装制作过程大解密 一定有你想知道的!
1月10日,T100亲子童装与南方报业合作举办了一次实践活动——组织南方报业running小记者走进T100亲子童装生产基地,让这些小记者们体验学习一件服装的生产
根据调查,在台湾有发生过性行为的女性,75﹪一生当中至少有一次阴道炎,其中又以霉菌性阴道炎的发生率及复发率最高啊!到底在生活中要怎么避免成为“霉”女呢?(图片提供/啾啾营养师)1.避免穿着紧身不透气裤子或是丝