以杀毒的名义施毒：Mcafee网站惊现漏洞

McAfee是一家著名的杀毒软件公司，但是到现在为止，任何懂一些网络技术的人都可以在McAfee网站上为所欲为。在本周的测试中，我们发现这家声称“让您远离身份盗窃，信用卡欺诈，间谍软件，垃圾信息，病毒和在线欺诈”的公司网站上存在一些跨站脚本（XSS）漏洞，给不法分子提供了可乘之机。

创新互联公司专业为企业提供坊子网站建设、坊子做网站、坊子网站设计、坊子网站制作等企业网站建设、网页设计与制作、坊子企业网站模板建站服务，10多年坊子做网站经验，不只是建网站，更提供有价值的思路和整体网络服务。

McAfee网站上的严重漏洞后果很严重，绝非儿戏。

安全科学公司 联合创始人和《找出钓鱼欺诈（Phishing Exposed）》的作者Lance James称，当罪犯在一个老牌的杀毒网站上发现XSS漏洞时，他会如鱼得水。该漏洞可以骗取人们的信任，成为散步恐吓软件（Scareware）的恶棍们的天堂。不法分子可以对正版McAfee做手脚，以自己的名义进行传播。这对McAfee公司来说是巨大的名誉损失。

该漏洞涉及McAfee回扣中心网站, 允许用户注入HTML代码。

以下是一个HTML注入（injection）的例子：

如何注入HTML代码

1. 进入McAfee 回扣中心（Rebate Center）
2. 点击获得回扣（Get Rebate）
3. 把以下代码复制到“购买日期（Date Purchased）”一栏：
4. 点击继续（continue）

这样就建立起一个简单的重定向（redirect），可以转到读写网。这就是HTML注入。

以上这个例子虽然简单，但说明了McAfee明显容易受到XSS攻击。和最近Twitter上的Mikeey病毒一样，该漏洞也是输出过滤（output filtering）处理不当的结果。Twitter有情可原，但是McAfee的核心业务就是信息安全，这有点说不过去。

“McAfee安全”可能向用户提供错误信息

还有更糟糕的。McAfee有一个叫做McAfee 安全（Secure）的产品，用来帮助公司确认自己的网站是否会受到恶意攻击。其原理就是这些网站加入McAfee安全计划，每天进行检查，如果通过检查，就会得到McAfee安全标志，上面有当天的日期。

糟糕的是McAfee似乎没有在自己所有站点上运行McAfee安全产品。

上面这个钓鱼网站由James制作，包括https，以及McAfee域名，甚至还有一个带有日期的有效McAfee安全证书。

James认为该漏洞最大的用途就是用来以McAfee的名义传播恶意软件。不法分子可以篡改正版McAfee产品，植入木马，在你不知道的情况下进入你的电脑。

James指出，有了这个伪造网站，他甚至都不需修改McAfee安全Logo。他说：“我们通过他们的证书来实现我们的攻击。”

赶紧查看一下这个钓鱼网站吧，别拉下https://。

你很安全，对吧？

分享文章：以杀毒的名义施毒：Mcafee网站惊现漏洞
转载来于：http://www.shufengxianlan.com/qtweb/news8/97808.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联