压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　著名的殺毒軟件小紅傘Avira是一款免費(fèi)的安全軟件，然而其安全備份服務(wù)卻存在著嚴(yán)重的Web應(yīng)用漏洞，從而導(dǎo)致攻擊者可以劫持用戶賬戶，數(shù)百萬(wàn)用戶就有可能這不小心成為了“刀俎之肉”。

　　Avira這一著名的免費(fèi)安全軟件，它的自身實(shí)時(shí)防護(hù)模塊和安全備份服務(wù)都很受歡迎。Avira被評(píng)為2012年度第六大殺毒軟件供應(yīng)商，并在世界各地?fù)碛?000多萬(wàn)的用戶。

　　一名16歲的埃及安全研究員Mazen Gamal最新發(fā)現(xiàn)，Avira網(wǎng)站存在CSRF漏洞，他可以劫持用戶賬號(hào)并訪問(wèn)用戶的在線安全云備份文件。

　　CSRF(Cross-site request forgery跨站請(qǐng)求偽造，也被稱為one click attack或者session riding，通常縮寫(xiě)為CSRF或者XSRF，是一種對(duì)網(wǎng)站的惡意利用。攻擊者往往通過(guò)偽裝來(lái)自受信任用戶的請(qǐng)求來(lái)利用受信任的網(wǎng)站實(shí)現(xiàn)攻擊。

　　Gamal進(jìn)一步解釋，一般來(lái)說(shuō)攻擊者利用CSRF漏洞誘騙受害者訪問(wèn)一個(gè)惡意請(qǐng)求，在受害者點(diǎn)擊這個(gè)URL連接的瞬間，實(shí)現(xiàn)Avira賬戶ID的郵箱地址替換。

　　關(guān)于備份文件

　　當(dāng)攻擊者實(shí)現(xiàn)Avira的郵箱地址替換后，攻擊者可以通過(guò)忘記密碼選項(xiàng)，重置密碼的鏈接會(huì)發(fā)送到攻擊者的郵箱，從而很容易的重置受害者的賬號(hào)密碼。

　　一旦賬戶被劫持，攻擊者就可以使用相同的憑證登陸到受害者的在線備份軟件和https：//dav.backup.avira.com/，進(jìn)而獲取受害者該Avira賬戶下所有的在線備份文件。

　　Gamal在給The Hacker News的郵件中提及：我發(fā)現(xiàn)了一個(gè)CSRF漏洞，可以對(duì)任何Avira賬戶進(jìn)行劫持，通過(guò)打開(kāi)受害者的備份文件，可以查看其Avira用戶許可證。

　　在8月20日的時(shí)候，Gamal已經(jīng)將該漏洞提交給Avira安全團(tuán)隊(duì)，該團(tuán)隊(duì)也積極響應(yīng)這一漏洞并修補(bǔ)其網(wǎng)站的漏洞。但是在Avira為本地文件解密提供一個(gè)離線password layer之前，他的在線安全備份服務(wù)仍然很容易受到黑客的攻擊。