Расшифровать QR код | MD5 | Base64 | ASCII | IP | Timestamp
Расшифровать Штрихкод | Создать Штрихкод


Yahoo! отказалась исправлять эксплуатируемую фишерами уязвимость в механизме переадресации пользователей

Как следует из сообщения в рассылке Full Disclosure, независимый исследователь безопасности Роберт Куглер (Robert Kugler) обнаружил уязвимость на портале yahoo.com и отправил соответствующее уведомление администрации ресурса.
Речь идет о распространенной бреши в механизме переадресации, позволяющей злоумышленникам перенаправлять пользователей на произвольный веб-сайт, сохраняя при этом префикс yahoo.com в URL-адресе. Таким образом потенциальная жертва может открыть в браузере любой необходимый злоумышленнику портал, однако ведущая на него ссылка будет выглядеть как один из доменов интернет-компании. Данная уловка, как правило, используется мошенниками для того, чтобы усыпить бдительность своих жертв.В предоставленном Куглером примере ссылка с префиксом us.ard.yahoo.com ведет на google.com. При этом слишком очевидный конец URL-адреса, из которого можно догадаться, что ссылка ведет на http://www.google.com/, также можно замаскировать.Уведомление Куглера было рассмотрено разработчиками Yahoo!, однако никаких действий по устранению бреши предпринято не было. По заверениям компании, «все работает как должно», поскольку данная особенность функционирования веб-сайта была намеренно добавлена с самого начала.
Статьи по теме:

В Java обнаружена первая за два года уязвимость нулевого дня Онлайн конвертер YouTube в MP3 Google убрала более 170 тысяч ссылок по “праву быть забытым” Проверить индексацию сайта в Яндекс.Вебмастере теперь невозможно Новый троян может разорить владельца заражённого Android устройства Цифра дня: Сколько ссылок удалил Google по запросам европейцев о "праве на забвение"? Компания Opera, выпустившая осенью прошлого года минималистичный браузер Coast для планшетников Apple, адаптировала приложение для iPhone. Обозреватель включает в себя экспресс-панель Speed Dial для быстрого доступа к сайтам, синхронизацию с iPad-версией В Яндекс.Браузере появился каталог расширений и функция блокировки сайтов, занимающихся SMS-мошенничеством SearchInform представила обновленный Worktime Monitor Google возвращается в прошлое