當前位置: > >麥當勞官網遭爆有XSS漏洞,可解密竊取用戶密碼

麥當勞官網遭爆有XSS漏洞,可解密竊取用戶密碼

03-12,IT資訊麥當勞官網遭爆有XSS漏洞,可解密竊取用戶密碼最新消息報導,口袋科技網(http://www.fbajfi.live)IT資訊
圖片來源: 

McDonalds.com

荷蘭資安研究人員Tijme Gommers近日揭露全球速食連鎖商店麥當勞(McDonald’s)的官方網站(McDonalds.com)藏匿了兩個安全漏洞,將允許駭客解密用戶的密碼,還能取得用戶的姓名及地址等通訊細節。

Gommers在麥當勞官網所發現的兩個漏洞分別是加密儲存漏洞與跨站指令碼(Cross-site Scripting)漏洞。Gommers說明,當使用者要登入麥當勞網站時,有一選項是要求該站記住密碼,方便日后直接登入,然而,麥當勞卻將密碼儲存在cookie中,而且可于客戶端執行解密,而讓駭客有機會取得麥當勞用戶的明文密碼。

駭客必須先利用XSS漏洞來竊取使用者的cookie,然后再解密存放在cookie中的密碼。

雖然揭露了安全漏洞,但Gommers卻惹來安全社群的撻伐,因為他是在去年的12月24日通知麥當勞,因未取得麥當勞的回應,于是于今年1月5日便對外公開漏洞。

安全社群指出,這段期間真正的工作日只有5天,更何況它還是員工的休假旺季,批評Gommers破壞了責任揭露的精神。

聲明:

·凡注明為其他媒體來源的信息,均為轉載自其他媒體,轉載并不代表本網贊同其觀點,也不代表本網對其真實性負責。如系原創文章,轉載請注明出處。

·您若對該稿件內容有任何疑問或質疑,請即聯系,本網將迅速給您回應并做處理。

郵箱:[email protected]

+1 已贊
已有8人贊過
評論13

發表評論請 登錄
  • 最新
  • 最熱
評論舉報

請選擇舉報理由

17 13

已收藏
去我的收藏夾 >

已取消收藏
去我的收藏夾 >

7星彩玩法