黑客利用JSONP劫持漏洞跟踪维吾尔族用户


黑客利用JSONP劫持漏洞跟踪维吾尔族用户


安全公司AlienVault官方博客报告,黑客入侵了与非政府组织、维吾尔族社区和伊斯兰教相关的中文网站,修改网站内容植入恶意的JS文件,该JS文件利用了中国流行网站(如图所示)的JSONP劫持漏洞,如果用户登录了这些网站,其个人身份信息将会被发送到攻击者控制的服务器。JSONP是常用的绕过同源策略的跨域请求技术,当JSONP包含用户数据时它有可能导致个人信息泄露。这是一种经典的Watering Holes攻击方法,因为利用JSONP劫持漏洞,用户即使使用VPN或Tor也无法防止身份泄露。攻击者被认为与政府有关。研究人员认为,百度淘宝腾讯应该修复它们网站的JSONP劫持漏洞。

评论

此博客中的热门博文

陈先生的抢救室|膜蛤文化流行背后的社会学意味

【河蟹档案】70后的痛:你硬时政策比你硬,政策软时你还软

Long live shadowsocks