您现在的位置: 贯通日本 >> 资讯 >> IT >> 正文

Macworld有漏洞 黑客获1695美元白金通行证

作者:未知  来源:CNET   更新:2007-1-17 6:44:45  点击:  切换到繁體中文

 CNET科技资讯网1月16日国际报道 Macworld会议网站的安全漏洞,让一名黑客宣称取得价值1,695美元的白金级通行证,现场观赏Steve Jobs的演说。

  一位安全专家表示,Macworld Conference and Expo的活动网站有一安全漏洞,能让企业黑客取得免费的"白金级通行证",价值1,695美元。
这类通行证是最贵的等级,包括众人抢破头的Jobs上周二(9日)重要演说的前排座位。Jobs在那场演说中公开苹果的新产品iPhone。

  位于加州柏克莱的安全专家Kurt Grutzmacher 日前在个人博客中透露,Macworld网站上的特别折扣码没有适当防护,让他得以轻松发现免费取得白金通行证的程序代码。

  Grutzmacher在8日领取他的免费"白金通行证",并于隔天通报活动主办单位IDG World Expo。Macworld已于12日闭幕。Grutzmacher写道:"他们花了一整天的时间检查网站记录,发现其它人也发现并利用这个弱点,但只有我一人通报。"

  Macworld主办单位IDG World Expo不愿证实或否认网站遭骇。发言人Charlotte McCormack仅简单表示"不予置评"。负责该活动注册事宜的Registration Control Systems则将所有问题推给IDG。

  网络安全专业公司SPI Dynamics研究员Billy Hoffman表示,Macworld被骇的情况,是Web 2.0应用软件安全问题的绝佳事例。他指出,IDG将某些确认使用者注册的工作交给PC,以加速其网站的回应。他们把某些JavaScript程序代码推给浏览器,如此一来便泄漏出网站如何验证和使用优先码。

  Hoffman说:"我12日造访IDG的注册网页,发现JavaScript还是含有优先码,大方供任何人盗用。为了丰富使用者的体验,(网站)程序员在JavaScript里面暴露了所有折扣价,让黑客得以发现它们,骗取数千美元的价值。"

  Grutzmacher的行为并非任何人都办得到。注册之后,他发现Macworld在线注册页真的包含可用的折扣码,也就是所谓的"优先码"。但这列程序经过加密,显示成MD5乱码。只是这类保护很容易破解,因为网站本身便提供一些破解的信息。Grutzmache只用了不到10秒钟,便取得免费白金通行证的程序代码。

  Grutzmache写道:"你终究不希望提供客户所有必要的信息,让他们取得不该得到的东西。在服务器而非客户的PC验证,并且守住金钥。当然,你也不该用非常简单的金钥提供折扣资格。"


 

新闻录入:贯通日本语    责任编辑:贯通日本语 

  • 上一篇新闻:

  • 下一篇新闻:
  •  
     

    相关文章

    没有相关新闻

     
    网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
     

    注册高达赢取大奖!

    09年2月《贯通日本语》杂志

    熊本熊震后首次现身东京 卖萌感

    日清推出“世界杯面选举” 纪念

    不二家巧克力点心内疑混入橡胶

    奥巴马来广岛,安倍去珍珠港吗

    广告

    广告