McAfee是一家著名的殺毒軟件公司，但是到現(xiàn)在為止，任何懂一些網(wǎng)絡(luò)技術(shù)的人都可以在McAfee網(wǎng)站上為所欲為。在本周的測(cè)試中，我們發(fā)現(xiàn)這家聲稱“讓您遠(yuǎn)離身份盜竊，信用卡欺詐，間諜軟件，垃圾信息，病毒和在線欺詐”的公司網(wǎng)站上存在一些跨站腳本（XSS）漏洞，給不法分子提供了可乘之機(jī)。

創(chuàng)新互聯(lián)公司專業(yè)為企業(yè)提供坊子網(wǎng)站建設(shè)、坊子做網(wǎng)站、坊子網(wǎng)站設(shè)計(jì)、坊子網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)與制作、坊子企業(yè)網(wǎng)站模板建站服務(wù)，10多年坊子做網(wǎng)站經(jīng)驗(yàn)，不只是建網(wǎng)站，更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

McAfee網(wǎng)站上的嚴(yán)重漏洞后果很嚴(yán)重，絕非兒戲。

安全科學(xué)公司 聯(lián)合創(chuàng)始人和《找出釣魚欺詐（Phishing Exposed）》的作者Lance James稱，當(dāng)罪犯在一個(gè)老牌的殺毒網(wǎng)站上發(fā)現(xiàn)XSS漏洞時(shí)，他會(huì)如魚得水。該漏洞可以騙取人們的信任，成為散步恐嚇軟件（Scareware）的惡棍們的天堂。不法分子可以對(duì)正版McAfee做手腳，以自己的名義進(jìn)行傳播。這對(duì)McAfee公司來(lái)說(shuō)是巨大的名譽(yù)損失。

該漏洞涉及McAfee回扣中心網(wǎng)站, 允許用戶注入HTML代碼。

以下是一個(gè)HTML注入（injection）的例子：

如何注入HTML代碼

1. 進(jìn)入McAfee 回扣中心（Rebate Center）
2. 點(diǎn)擊獲得回扣（Get Rebate）
3. 把以下代碼復(fù)制到“購(gòu)買日期（Date Purchased）”一欄：
4. 點(diǎn)擊繼續(xù)（continue）

這樣就建立起一個(gè)簡(jiǎn)單的重定向（redirect），可以轉(zhuǎn)到讀寫網(wǎng)。這就是HTML注入。

以上這個(gè)例子雖然簡(jiǎn)單，但說(shuō)明了McAfee明顯容易受到XSS攻擊。和最近Twitter上的Mikeey病毒一樣，該漏洞也是輸出過(guò)濾（output filtering）處理不當(dāng)?shù)慕Y(jié)果。Twitter有情可原，但是McAfee的核心業(yè)務(wù)就是信息安全，這有點(diǎn)說(shuō)不過(guò)去。

“McAfee安全”可能向用戶提供錯(cuò)誤信息

還有更糟糕的。McAfee有一個(gè)叫做McAfee 安全（Secure）的產(chǎn)品，用來(lái)幫助公司確認(rèn)自己的網(wǎng)站是否會(huì)受到惡意攻擊。其原理就是這些網(wǎng)站加入McAfee安全計(jì)劃，每天進(jìn)行檢查，如果通過(guò)檢查，就會(huì)得到McAfee安全標(biāo)志，上面有當(dāng)天的日期。

糟糕的是McAfee似乎沒(méi)有在自己所有站點(diǎn)上運(yùn)行McAfee安全產(chǎn)品。

上面這個(gè)釣魚網(wǎng)站由James制作，包括https，以及McAfee域名，甚至還有一個(gè)帶有日期的有效McAfee安全證書。

James認(rèn)為該漏洞最大的用途就是用來(lái)以McAfee的名義傳播惡意軟件。不法分子可以篡改正版McAfee產(chǎn)品，植入木馬，在你不知道的情況下進(jìn)入你的電腦。

James指出，有了這個(gè)偽造網(wǎng)站，他甚至都不需修改McAfee安全Logo。他說(shuō)：“我們通過(guò)他們的證書來(lái)實(shí)現(xiàn)我們的攻擊?！?/p>

趕緊查看一下這個(gè)釣魚網(wǎng)站吧，別拉下https://。

你很安全，對(duì)吧？

網(wǎng)頁(yè)名稱：以殺毒的名義施毒：Mcafee網(wǎng)站驚現(xiàn)漏洞
標(biāo)題URL：http://uogjgqi.cn/article/dhhshcc.html