以杀毒的名义施毒:Mcafee网站惊现漏洞

安全
XSS漏洞最大的用途就是以McAfee的名义传播恶意软件。不法分子可以篡改正版McAfee产品,植入木马,在你不知道的情况下进入你的电脑。

McAfee是一家著名的杀毒软件公司,但是到现在为止,任何懂一些网络技术的人都可以在McAfee网站上为所欲为。在本周的测试中,我们发现这家声称“让您远离身份盗窃,信用卡欺诈,间谍软件,垃圾信息,病毒和在线欺诈”的公司网站上存在一些跨站脚本(XSS)漏洞,给不法分子提供了可乘之机。

McAfee网站上的严重漏洞后果很严重,绝非儿戏。

安全科学公司 联合创始人和《找出钓鱼欺诈(Phishing Exposed)》的作者Lance James称,当罪犯在一个知名的杀毒网站上发现XSS漏洞时,他会如鱼得水。该漏洞可以骗取人们的信任,成为散步恐吓软件(Scareware)的恶棍们的天堂。不法分子可以对正版McAfee做手脚,以自己的名义进行传播。这对McAfee公司来说是巨大的名誉损失。

该漏洞涉及McAfee回扣中心网站, 允许用户注入HTML代码。

以下是一个HTML注入(injection)的例子:

如何注入HTML代码

rebate_may_09.jpg

  1. 进入McAfee 回扣中心(Rebate Center)
  2. 点击获得回扣(Get Rebate)
  3. 把以下代码复制到“购买日期(Date Purchased)”一栏:
  4. 点击继续(continue)

这样就建立起一个简单的重定向(redirect),可以转到读写网。这就是HTML注入。

以上这个例子虽然简单,但说明了McAfee明显容易受到XSS攻击。和最近Twitter上的Mikeey病毒一样,该漏洞也是输出过滤(output filtering)处理不当的结果。Twitter有情可原,但是McAfee的核心业务就是信息安全,这有点说不过去。

“McAfee安全”可能向用户提供错误信息


还有更糟糕的。McAfee有一个叫做McAfee 安全(Secure)的产品,用来帮助公司确认自己的网站是否会受到恶意攻击。其原理就是这些网站加入McAfee安全计划,每天进行检查,如果通过检查,就会得到McAfee安全标志,上面有当天的日期。

糟糕的是McAfee似乎没有在自己所有站点上运行McAfee安全产品。

phish_may_09.jpg

上面这个钓鱼网站由James制作,包括https,以及McAfee域名,甚至还有一个带有日期的有效McAfee安全证书。

James认为该漏洞最大的用途就是用来以McAfee的名义传播恶意软件。不法分子可以篡改正版McAfee产品,植入木马,在你不知道的情况下进入你的电脑。

James指出,有了这个伪造网站,他甚至都不需修改McAfee安全Logo。他说:“我们通过他们的证书来实现我们的攻击。”

赶紧查看一下这个钓鱼网站吧,别拉下https://。

你很安全,对吧?

责任编辑:王文文 来源: yeeyan
相关推荐

2009-02-27 15:33:18

Adobe PDF漏洞江民

2013-06-05 13:56:11

2014-11-06 09:52:33

2016-08-29 21:09:32

2010-11-29 14:05:29

2021-10-24 08:24:34

WinRAR远程代码漏洞

2009-02-26 18:59:07

2014-10-24 13:38:02

北京地铁收费系统漏洞

2010-09-25 11:29:23

2021-03-12 09:50:08

曙光

2009-03-09 17:30:00

2013-09-02 09:19:19

2013-09-04 10:01:15

2009-04-08 10:55:19

2018-06-11 10:33:50

2012-12-14 10:00:06

2011-03-30 10:58:30

2012-09-18 19:29:36

2011-03-28 15:00:16

2010-11-09 09:44:23

点赞
收藏

51CTO技术栈公众号