搜狐网站
搜狐 ChinaRen 17173 焦点房地产 搜狗
搜狐IT-搜狐网站
IT频道 > 互联网 > 国际互联网

Macworld有漏洞 黑客获1695美元白金通行证

  CNET科技资讯网1月16日国际报道 Macworld会议网站的安全漏洞,让一名黑客宣称取得价值1,695美元的白金级通行证,现场观赏Steve Jobs的演说。

  一位安全专家表示,Macworld Conference and Expo的活动网站有一安全漏洞,能让企业黑客取得免费的"白金级通行证",价值1,695美元。

这类通行证是最贵的等级,包括众人抢破头的Jobs上周二(9日)重要演说的前排座位。Jobs在那场演说中公开苹果的新产品iPhone。

  位于加州柏克莱的安全专家Kurt Grutzmacher 日前在个人博客中透露,Macworld网站上的特别折扣码没有适当防护,让他得以轻松发现免费取得白金通行证的程序代码。

  Grutzmacher在8日领取他的免费"白金通行证",并于隔天通报活动主办单位IDG World Expo。Macworld已于12日闭幕。Grutzmacher写道:"他们花了一整天的时间检查网站记录,发现其它人也发现并利用这个弱点,但只有我一人通报。"

  Macworld主办单位IDG World Expo不愿证实或否认网站遭骇。发言人Charlotte McCormack仅简单表示"不予置评"。负责该活动注册事宜的Registration Control Systems则将所有问题推给IDG。

  网络安全专业公司SPI Dynamics研究员Billy Hoffman表示,Macworld被骇的情况,是Web 2.0应用软件安全问题的绝佳事例。他指出,IDG将某些确认使用者注册的工作交给PC,以加速其网站的回应。他们把某些JavaScript程序代码推给浏览器,如此一来便泄漏出网站如何验证和使用优先码。

  Hoffman说:"我12日造访IDG的注册网页,发现JavaScript还是含有优先码,大方供任何人盗用。为了丰富使用者的体验,(网站)程序员在JavaScript里面暴露了所有折扣价,让黑客得以发现它们,骗取数千美元的价值。"

  Grutzmacher的行为并非任何人都办得到。注册之后,他发现Macworld在线注册页真的包含可用的折扣码,也就是所谓的"优先码"。但这列程序经过加密,显示成MD5乱码。只是这类保护很容易破解,因为网站本身便提供一些破解的信息。Grutzmache只用了不到10秒钟,便取得免费白金通行证的程序代码。

  Grutzmache写道:"你终究不希望提供客户所有必要的信息,让他们取得不该得到的东西。在服务器而非客户的PC验证,并且守住金钥。当然,你也不该用非常简单的金钥提供折扣资格。"

  

(责任编辑:Ann)

用户:  匿名  隐藏地址  设为辩论话题

我要发布Sogou推广服务

新闻 网页 博客 音乐 图片 说吧  
央视质疑29岁市长 邓玉娇失踪 朝鲜军事演习 日本兵赎罪
石首网站被黑 篡改温总讲话 夏日减肥秘方 日本瘦脸法
宋美龄牛奶洗澡 中共卧底结局 慈禧不快乐 侵略中国报告



说 吧更多>>

相 关 说 吧

金钥 | 通行证 | 网站 | macworld

说 吧 排 行

茶 余 饭 后更多>>