以殺毒的名義施毒:Mcafee網站驚現漏洞
McAfee是一家著名的殺毒軟件公司,但是到現在為止,任何懂一些網絡技術的人都可以在McAfee網站上為所欲為。在本周的測試中,我們發現這家聲稱“讓您遠離身份盜竊,信用卡欺詐,間諜軟件,垃圾信息,病毒和在線欺詐”的公司網站上存在一些跨站腳本(XSS)漏洞,給不法分子提供了可乘之機。
McAfee網站上的嚴重漏洞后果很嚴重,絕非兒戲。
安全科學公司 聯合創始人和《找出釣魚欺詐(Phishing Exposed)》的作者Lance James稱,當罪犯在一個知名的殺毒網站上發現XSS漏洞時,他會如魚得水。該漏洞可以騙取人們的信任,成為散步恐嚇軟件(Scareware)的惡棍們的天堂。不法分子可以對正版McAfee做手腳,以自己的名義進行傳播。這對McAfee公司來說是巨大的名譽損失。
該漏洞涉及McAfee回扣中心網站, 允許用戶注入HTML代碼。
以下是一個HTML注入(injection)的例子:
如何注入HTML代碼
- 進入McAfee 回扣中心(Rebate Center)
- 點擊獲得回扣(Get Rebate)
- 把以下代碼復制到“購買日期(Date Purchased)”一欄:
- 點擊繼續(continue)
這樣就建立起一個簡單的重定向(redirect),可以轉到讀寫網。這就是HTML注入。
以上這個例子雖然簡單,但說明了McAfee明顯容易受到XSS攻擊。和最近Twitter上的Mikeey病毒一樣,該漏洞也是輸出過濾(output filtering)處理不當的結果。Twitter有情可原,但是McAfee的核心業務就是信息安全,這有點說不過去。
“McAfee安全”可能向用戶提供錯誤信息
還有更糟糕的。McAfee有一個叫做McAfee 安全(Secure)的產品,用來幫助公司確認自己的網站是否會受到惡意攻擊。其原理就是這些網站加入McAfee安全計劃,每天進行檢查,如果通過檢查,就會得到McAfee安全標志,上面有當天的日期。
糟糕的是McAfee似乎沒有在自己所有站點上運行McAfee安全產品。
上面這個釣魚網站由James制作,包括https,以及McAfee域名,甚至還有一個帶有日期的有效McAfee安全證書。
James認為該漏洞最大的用途就是用來以McAfee的名義傳播惡意軟件。不法分子可以篡改正版McAfee產品,植入木馬,在你不知道的情況下進入你的電腦。
James指出,有了這個偽造網站,他甚至都不需修改McAfee安全Logo。他說:“我們通過他們的證書來實現我們的攻擊。”
趕緊查看一下這個釣魚網站吧,別拉下https://。
你很安全,對吧?
