跳至主要内容

以杀毒的名义施毒:Mcafee网站惊现漏洞

McAfee是一家著名的杀毒软件公司,但是到现在为止,任何懂一些网络技术的人都可以在McAfee网站上为所欲为。在本周的测试中,我们发现这家声称"让您远离身份盗窃,信用卡欺诈,间谍软件,垃圾信息,病毒和在线欺诈"的公司网站上存在一些跨站脚本(XSS)漏洞,给不法分子提供了可乘之机。
McAfee网站上的严重漏洞
 
后果很严重,绝非儿戏。
 
安全科学公司 联合创始人和《找出钓鱼欺诈(Phishing Exposed)》的作者Lance James称,当罪犯在一个知名的杀毒网站上发现XSS漏洞时,他会如鱼得水。该漏洞可以骗取人们的信任,成为散步恐吓软件(Scareware)的恶棍们的天堂。不法分子可以对正版McAfee做手脚,以自己的名义进行传播。这对McAfee公司来说是巨大的名誉损失。
 
该漏洞涉及McAfee回扣中心网站, 允许用户注入HTML代码。
 
以下是一个HTML注入(injection)的例子:
如何注入HTML代码
 
rebate_may_09.jpg
 
   1. 进入McAfee 回扣中心(Rebate Center)
   2. 点击获得回扣(Get Rebate)
   3. 把以下代码复制到"购买日期(Date Purchased)"一栏:
      "<META HTTP-EQUIV="refresh" content="0; URL=http://readwriteweb.com">
   4. 点击继续(continue)
 
这样就建立起一个简单的重定向(redirect),可以转到读写网。这就是HTML注入。
 
以上这个例子虽然简单,但说明了McAfee明显容易受到XSS攻击。和最近Twitter上的Mikeey病毒一样,该漏洞也是输出过滤(output filtering)处理不当的结果。Twitter有情可原,但是McAfee的核心业务就是信息安全,这有点说不过去。
"McAfee安全"可能向用户提供错误信息
 
还有更糟糕的。McAfee有一个叫做McAfee 安全(Secure)的产品,用来帮助公司确认自己的网站是否会受到恶意攻击。其原理就是这些网站加入McAfee安全计划,每天进行检查,如果通过检查,就会得到McAfee安全标志,上面有当天的日期。
 
糟糕的是McAfee似乎没有在自己所有站点上运行McAfee安全产品。
 
phish_may_09.jpg
 
上面这个钓鱼网站由James制作,包括https,以及McAfee域名,甚至还有一个带有日期的有效McAfee安全证书。
 
James认为该漏洞最大的用途就是用来以McAfee的名义传播恶意软件。 不法分子可以篡改正版McAfee产品,植入木马,在你不知道的情况下进入你的电脑。
 
James指出,有了这个伪造网站,他甚至都不需修改McAfee安全Logo。他说:"我们通过他们的证书来实现我们的攻击。"
 
赶紧查看一下这个钓鱼网站吧,别拉下https://。
 
你很安全,对吧?

评论

此博客中的热门博文

前员工称社区网络是Google最大弱点

北京时间3月7日消息,Google员工近日掀起了离职创业之风,并且主要的创业领域为社区网络。有前Google员工指出,社区网络正是Google最大的弱点。以下是今天美国科技博客的主要内容。   Bits:分析师称移动运营商之间将出现价格战   Sanford Bernstein分析师Craig Moffett日前在一份报告中称,由于手机普及率已经很高,因此移动运营商将很难继续实现增长,而运营商之间将出现价格战。来自美国各主要运营商的最新数据显示,用户增长的速度正在大幅放缓。08年美国手机用户数仅同比增长5.9%,而09年可能进一步下降至3%。而一旦出现价格战,运营商的营收增长也将趋于停滞。Moffett甚至表示,整个移动通信产业即将崩溃。移动运营商目前将希望寄托在智能手机上,智能手机用户通常会更多的使用数据业务。   WebProNews:员工称Google最大弱点在社区网络   前Google员工Bindu Reddy和Arvind Sundararajan近日创立了一家社会化网站Likaholix,这是前Google员工近期创立的数家网站之一。分析认为,导致Google员工离职创业的原因有二。首先,Google目前的规模太庞大,因此很难将一些好的创意引入核心业务中。其次,在网页搜索领域对Google发起挑战是愚蠢的,Google最大的弱点在于社区网络和实时搜索。Reddy认为,Google未来最大的威胁来自Facebook和Twitter,而不是微软和雅虎。   Search Engine Land:AdSense发行商起诉Google获胜   AdSense广告平台的一名用户近日对Google提起诉讼并获得胜利。Google此前关闭了该用户的AdSense帐号,理由是该帐号"对广告主造成威胁",但Google并未具体指出这一威胁是什么。该用户随后起诉Google,并要求Google赔偿721美元。尽管Google的法律代表声称Google有权终止用户帐号,并且已经向该用户支付了721美元,但法庭最终判决结果仍然要求Google支付这笔钱,以及40美元的庭审费用。这一诉讼或许将成为其他AdSense发行商未来起诉Google的依据。   VentureBeat:全部iPhone应用程序总售价超7万美元   尽管RIM、微软和Palm等公司均推...

Google和雅虎签约加入英国定向广告规则

北京时间3月4日消息,据国外媒体报道,Google、雅虎已经签约加入英国的定向广告规则,以便向消费者提供更好的隐私保护。   定向广告去年成为了英国的热门话题,当时广告技术公司Phorm宣布与英国电信、维京传媒(Virgin Media)等互联网服务供应商合作,一些人士警告说消费者的隐私将受到威胁,互联网广告局英国部门在与Google、AOL、雅虎、微软等公司商讨后制订了若干原则。   互联网广告局监管官员尼克-斯特林格(Nick Stringer)表示:"定向广告占到了网上显示广告的20%,如果这一领域要发展,就必须赢得消费者的信任。"   按照这些原则,所有定向广告平台在获得数据之前都必须明确通知消费者,必须提供一种方式让消费者可以拒绝定向广告,最好能征求消费者的同意。(编译:搜狐IT Unifytruth) ------------------ 洛阳生活信息点评网:http://luoyanglife.com/ 洛阳生活信息,我爱打折论坛:http://bbs.luoyanglife.com/ 河南招生考试网:http://www.edu-ha.com/

奥运会开模式上的蓝屏靓照

鸟巢的灯光和投影显示系统 使用了上百台Windows XP Embedded系统的服务器产品 此次北京奥运会开幕式共使用了120台HES Axon Media Servers服务器,这也是历届盛会之最。所有的灯光效果以及放映机移动控制都由Axon Media Servers实时处理并通过三台Wholehog 3灯光控制台操纵完成。 位于鸟巢的Axon Media Servers,有关Axon Media Servers的更多信息可参考 这里 。 在开幕式主火炬点火的关键时刻,其中一台投影服务器正巧出现了 奥运开模式上的蓝屏靓照 这幅图来自 gizmodo.com (both Li Ning and the BSOD :-) ) 没有错,正当李宁在空中跑道大步迈进的时候,蓝屏就在他的身旁。 下面的图片 据说 拍摄于H区3层顶棚。 拍摄于H区3层顶棚,2008.8.8,持续了开幕式的一半时间... Windows Blue Screen on the Olympics Openning Ceremony of Beijing 2008 照片上沿的那块蓝色,不过里边的字看不清了,其实从开幕式刚开始没多久,我就注意到顶棚有这么一块蓝色;不过因为是横过来的,所以没发觉是蓝屏;后来坐在我右边的一位老兄提醒了一下,我才反应过来,这时开幕式都快结束了。 李宁点完火炬降下来时,就经过瑞士国旗的左边,而这个蓝屏也就在李宁的左边,可惜我敏感度不高,当时没照下来。 相关链接: 奥运会开幕式上的Windows蓝屏 Blue Screen of Death Strikes Bird's Nest During Opening Ceremonies Torch Lighting 奥运会开幕式后台控制揭秘 XPe是功臣 Windows XP Embedded? 一样会蓝屏 奥运开幕式上的Windows蓝屏新照 奥运开模式上的蓝屏靓照 2008北京奥运会开模式上的蓝屏靓照