招聘网站HotJobs出现重大漏洞 雅虎火速修复

网络新闻及广告公司雅虎的技术人员近日修复了一个该公司旗下HotJobs网站的漏洞，此举将挽救几千名身份盗窃受害者。HotJobs是居领导地位的招聘网站之一，注册会员数以万计。

　　这次的问题是一个跨站脚本(cross-site scripting)漏洞，最早是由互联网服务企业Netcraft发现，并在本周日通知了雅虎公司。Netcraft表示，他们今年年初在雅虎的ychat.help.yahoo.com网站也发现了一个类似问题。

　　在这两件案例中，攻击者通过注入恶意的JavaScript代码，可以盗取访问者的身份验证cookies。Netcraft指出，攻击者能利用这些cookies来访问受害人的雅虎邮箱等任何其他可用cookies访问的Yahoo.com域名中的账户。

　　JavaScript作为一种全球性的目标语言，专家们认为它是造成所有跨站脚本攻击的根源。如果加上SQL注入攻击，其将占据所有网络攻击的六成。

　　Breach Security的应用安全总裁Ryan Barnett解释说，恶意的JavaScript代码能一直蛰伏在受害人浏览器中并监视他（或她）的活动，直至受害人访问一些会暴露其个人信息的账户。在这个时候，恶意脚本会偷取其个人或者银行资料，然后发送回攻击者的网站。

　　黑客们还很懂得与时俱进。“黑客们尝试注入数据库的JavaScript会不断升级，以便能获得更多机会被上传到用户的浏览器标题，”Barnett对InternetNews.com说。

　　不过，如果有人想未经授权访问一个雅虎邮箱账户的话，这并不是必须的，这一点可以从近期美国副总统候选人、阿拉斯加州州长莎拉·佩琳的雅虎邮箱被黑一事得到证实。

　　雅虎公司在一份声明邮件中表示，HotJobs网站的漏洞在几小时内已经修复。雅虎强烈建议用户们修改自己的雅虎账号密码以确保安全。

　　雅虎发言人Emily Fox对InternetNews.com表示，公司将遵循现有的疗程来防御网络攻击。她补充说，作为门户网站，雅虎会始终小心翼翼，防止这类事情的发生。

　　McAfee安全研究及通讯总裁Dave Marcus表示，这需要对代码和应用程序进行详细检查。他补充说，在检验过程中，任何错误都会导致网站被黑客所控制并被用来分发恶意软件。

　　雅虎网站上提供了一份在线安全指引(http://security.yahoo.com/)，此外，上面还有链接方便消费者举报网络诈骗。

　　“安全是一个全行业问题，雅虎对此非常重视，”雅虎说。“雅虎将用户安全摆在第一位，未来将继续坚决、有效地打击恶意行为和保护用户。”

 

桥头网站建设，网站推广，网页设计，网站制作，网站方案，网络公司，