谁动了我的账号?又一轮账号泄露风潮再起!这次是淘宝的!
昨日有国外黑客爆出OpenSSL存在一处内存泄漏漏洞,该漏洞可随机泄漏https服务器64k内存,内存中可能会含有程序源码、用户http原始请求、用户cookie甚至明文帐号密码等,已经有多个白帽给乌云君提供了漏洞影响证明,涉及大量互联网企业与电商,紧急!
简简单单访问一个网页就能被种植上flash xss rookit代码,然后登陆淘宝账号就会被窃取,杀毒软件干什么吃的了?黑客太可怕了!
《一个可大规模悄无声息窃取淘宝/支付宝账号与密码的漏洞 -(埋雷式攻击附带视频演示)》
由于详细说明中已经给出具体的证明过程,(详见http://www.wooyun.org/bugs/wooyun-2014-051615)这里强调的是该漏洞的一些特点:
A. 可以钓取用户的账户和密码信息,相比传统XSS窃取的个人信息更加重要。
B. 相比传统钓鱼,这种在支付宝和淘宝自己登录页面上的钓鱼,对于用户来说无法用认知来防御。
C. 窃取密码的过程隐蔽,用户难以察觉。
D. 窃取手段不会被目前的家用杀毒软件所察觉。
E. 此类XSS攻击,并不像传统XSS需要用户处于登录态。而是随时都可以进行攻击,从而在受害者电脑上种植rookit代码。因而十分易于用来做定向的攻击或者大规模的攻击。
F. 此类XSS攻击,可以长期存在于用户电脑中,持续时间长。
G. 此类XSS完全是跨协议的,即我们种植rookit使用的是http协议下的flash文件,而登录页面中是https协议下的flash文件。
H. 在chrome浏览器中,普通页面下种植的rookit,在隐身模式下登录支付宝一样会被窃取密码。
I. 支付宝的登录控件,并不能防止通过这种攻击所实施的密码窃取
完了~我的电脑不能登录支付宝账号了~不小心点了里面的测试链接,我的电脑应该被种植flash xss rookit代码了!!!怎样清除呢?
暂时还不知道,有待研究~