跳至主要内容

以杀毒的名义施毒:Mcafee网站惊现漏洞

McAfee是一家著名的杀毒软件公司,但是到现在为止,任何懂一些网络技术的人都可以在McAfee网站上为所欲为。在本周的测试中,我们发现这家声称"让您远离身份盗窃,信用卡欺诈,间谍软件,垃圾信息,病毒和在线欺诈"的公司网站上存在一些跨站脚本(XSS)漏洞,给不法分子提供了可乘之机。
McAfee网站上的严重漏洞
 
后果很严重,绝非儿戏。
 
安全科学公司 联合创始人和《找出钓鱼欺诈(Phishing Exposed)》的作者Lance James称,当罪犯在一个知名的杀毒网站上发现XSS漏洞时,他会如鱼得水。该漏洞可以骗取人们的信任,成为散步恐吓软件(Scareware)的恶棍们的天堂。不法分子可以对正版McAfee做手脚,以自己的名义进行传播。这对McAfee公司来说是巨大的名誉损失。
 
该漏洞涉及McAfee回扣中心网站, 允许用户注入HTML代码。
 
以下是一个HTML注入(injection)的例子:
如何注入HTML代码
 
rebate_may_09.jpg
 
   1. 进入McAfee 回扣中心(Rebate Center)
   2. 点击获得回扣(Get Rebate)
   3. 把以下代码复制到"购买日期(Date Purchased)"一栏:
      "<META HTTP-EQUIV="refresh" content="0; URL=http://readwriteweb.com">
   4. 点击继续(continue)
 
这样就建立起一个简单的重定向(redirect),可以转到读写网。这就是HTML注入。
 
以上这个例子虽然简单,但说明了McAfee明显容易受到XSS攻击。和最近Twitter上的Mikeey病毒一样,该漏洞也是输出过滤(output filtering)处理不当的结果。Twitter有情可原,但是McAfee的核心业务就是信息安全,这有点说不过去。
"McAfee安全"可能向用户提供错误信息
 
还有更糟糕的。McAfee有一个叫做McAfee 安全(Secure)的产品,用来帮助公司确认自己的网站是否会受到恶意攻击。其原理就是这些网站加入McAfee安全计划,每天进行检查,如果通过检查,就会得到McAfee安全标志,上面有当天的日期。
 
糟糕的是McAfee似乎没有在自己所有站点上运行McAfee安全产品。
 
phish_may_09.jpg
 
上面这个钓鱼网站由James制作,包括https,以及McAfee域名,甚至还有一个带有日期的有效McAfee安全证书。
 
James认为该漏洞最大的用途就是用来以McAfee的名义传播恶意软件。 不法分子可以篡改正版McAfee产品,植入木马,在你不知道的情况下进入你的电脑。
 
James指出,有了这个伪造网站,他甚至都不需修改McAfee安全Logo。他说:"我们通过他们的证书来实现我们的攻击。"
 
赶紧查看一下这个钓鱼网站吧,别拉下https://。
 
你很安全,对吧?

评论

此博客中的热门博文

Google和雅虎签约加入英国定向广告规则

北京时间3月4日消息,据国外媒体报道,Google、雅虎已经签约加入英国的定向广告规则,以便向消费者提供更好的隐私保护。   定向广告去年成为了英国的热门话题,当时广告技术公司Phorm宣布与英国电信、维京传媒(Virgin Media)等互联网服务供应商合作,一些人士警告说消费者的隐私将受到威胁,互联网广告局英国部门在与Google、AOL、雅虎、微软等公司商讨后制订了若干原则。   互联网广告局监管官员尼克-斯特林格(Nick Stringer)表示:"定向广告占到了网上显示广告的20%,如果这一领域要发展,就必须赢得消费者的信任。"   按照这些原则,所有定向广告平台在获得数据之前都必须明确通知消费者,必须提供一种方式让消费者可以拒绝定向广告,最好能征求消费者的同意。(编译:搜狐IT Unifytruth) ------------------ 洛阳生活信息点评网:http://luoyanglife.com/ 洛阳生活信息,我爱打折论坛:http://bbs.luoyanglife.com/ 河南招生考试网:http://www.edu-ha.com/

奥运会开模式上的蓝屏靓照

鸟巢的灯光和投影显示系统 使用了上百台Windows XP Embedded系统的服务器产品 此次北京奥运会开幕式共使用了120台HES Axon Media Servers服务器,这也是历届盛会之最。所有的灯光效果以及放映机移动控制都由Axon Media Servers实时处理并通过三台Wholehog 3灯光控制台操纵完成。 位于鸟巢的Axon Media Servers,有关Axon Media Servers的更多信息可参考 这里 。 在开幕式主火炬点火的关键时刻,其中一台投影服务器正巧出现了 奥运开模式上的蓝屏靓照 这幅图来自 gizmodo.com (both Li Ning and the BSOD :-) ) 没有错,正当李宁在空中跑道大步迈进的时候,蓝屏就在他的身旁。 下面的图片 据说 拍摄于H区3层顶棚。 拍摄于H区3层顶棚,2008.8.8,持续了开幕式的一半时间... Windows Blue Screen on the Olympics Openning Ceremony of Beijing 2008 照片上沿的那块蓝色,不过里边的字看不清了,其实从开幕式刚开始没多久,我就注意到顶棚有这么一块蓝色;不过因为是横过来的,所以没发觉是蓝屏;后来坐在我右边的一位老兄提醒了一下,我才反应过来,这时开幕式都快结束了。 李宁点完火炬降下来时,就经过瑞士国旗的左边,而这个蓝屏也就在李宁的左边,可惜我敏感度不高,当时没照下来。 相关链接: 奥运会开幕式上的Windows蓝屏 Blue Screen of Death Strikes Bird's Nest During Opening Ceremonies Torch Lighting 奥运会开幕式后台控制揭秘 XPe是功臣 Windows XP Embedded? 一样会蓝屏 奥运开幕式上的Windows蓝屏新照 奥运开模式上的蓝屏靓照 2008北京奥运会开模式上的蓝屏靓照

银行叫市民还钱,市民一封回信:ATM机取400元吐出4000元

云南昆明ATM机取400元吐出4000元,银行叫市民还钱。之后银行收到这位市民一封回信,内容如下: 1:请在我规定的时间到我家来取,时间是早上7点到8点,晚上7点到9点,其他时间我要上班和休息。  2:到我家后请在过道口取号,然后在楼梯间蹲着等待叫号,请在我家门口黄线外等待。  3:请提供你的有效证件,在我奶奶那里领取申请表,填好后签名,盖公章,我会对比你们的公章,要是模糊了,我会叫你回去重新盖。  4:你要是要问我取了多少钱,对不起,请支付查询费,一笔2元。  5:提供你的单位证明,委托书等资料。(注意这个"等"字,到时候突然想起还需要什么,你自己回去拿。)  6:手续全部完成后,请交纳取款手续费,每笔4元,然后留下TEL号码,我会把资料提交到我老婆那里审批,20个工作日,到我家领取。当然,来领取时请重复1,2,3步骤