当前位置: > >麦当劳官网遭爆有XSS漏洞,可解密窃取用户密码

麦当劳官网遭爆有XSS漏洞,可解密窃取用户密码

03-12,IT资讯麦当劳官网遭爆有XSS漏洞,可解密窃取用户密码最新消息报导,口袋科技网(http://www.kotoo.com)IT资讯
图片来源: 

McDonalds.com

荷兰资安研究人员Tijme Gommers近日揭露全球速食连锁商店麦当劳(McDonald’s)的官方网站(McDonalds.com)藏匿了两个安全漏洞,将允许骇客解密用户的密码,还能取得用户的姓名及地址等通讯细节。

Gommers在麦当劳官网所发现的两个漏洞分别是加密储存漏洞与跨站指令码(Cross-site Scripting)漏洞。Gommers说明,当使用者要登入麦当劳网站时,有一选项是要求该站记住密码,方便日后直接登入,然而,麦当劳却将密码储存在cookie中,而且可于客户端执行解密,而让骇客有机会取得麦当劳用户的明文密码。

骇客必须先利用XSS漏洞来窃取使用者的cookie,然后再解密存放在cookie中的密码。

虽然揭露了安全漏洞,但Gommers却惹来安全社群的挞伐,因为他是在去年的12月24日通知麦当劳,因未取得麦当劳的回应,于是于今年1月5日便对外公开漏洞。

安全社群指出,这段期间真正的工作日只有5天,更何况它还是员工的休假旺季,批评Gommers破坏了责任揭露的精神。

声明:

·凡注明为其他媒体来源的信息,均为转载自其他媒体,转载并不代表本网赞同其观点,也不代表本网对其真实性负责。如系原创文章,转载请注明出处。

·您若对该稿件内容有任何疑问或质疑,请即联系,本网将迅速给您回应并做处理。

邮箱:mail@kotoo.com

+1 已赞
已有8人赞过
评论13

发表评论请 登录
  • 最新
  • 最热
评论举报

请选择举报理由

17 13

已收藏
去我的收藏夹 >

已取消收藏
去我的收藏夹 >