更多

    WordPress 相片插件引發騎劫帳戶危機

    Mickey Chan
    Mickey Chan
    愛騎單車的宅,眼鏡娘控。 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    【持續更新】NVIDIA RTX 3080/3090 出事?!部分用戶出現彈 Game 跳回桌面問題

    NVIDIA RTX 30 系列顯示卡效能颷升,不少電競玩家爭相搶購,但在供應不足的情況下都出現炒賣情況。不過就在這個時候,部分用戶就報告遊戲進行中出現程式崩潰退回桌面,即是所謂「彈 Game 」的情況!現時香港代理正等候廠方指示,是否需要回收以及回收規模。由於周末關係,可能會稍遲一些再有公佈。

    迎接網上東京遊戲展 Flight Simulator 首次大型更新打造美麗東瀛

    疫情之下,今年東京遊戲展也被迫移師網上舉行。而在網上東京遊戲展期間, Microsoft 就趁機公布將會在 9 月 29 日迎來 Flight Simulator 首個世界更新——將更美麗的日本呈現在飛行迷眼前。

    【iOS14 升級精讀】App Store 上的私隱資訊

    為了在購買或下載程式前讓用戶知道那個程式會不會被追踪,在 App Store 裡將會加入 App Privacy 程式私隱一節,列出程式會用甚麼方式來追踪用戶。大家就可以衡量是否使用該程式。

    WordPress 是現時不少新聞網站所採用的內容管理系統,假如它有甚麼漏洞,可能會危害不少網站。最近 WordPress 一個頗受歡迎的相片插件就被發現含有一個可以讓攻擊者奪取帳戶的漏洞,危害到網站的安全。

    今次發現 WordPress 插件漏洞的,是日本的的「情報處理推進機構( IPA )」,他們發現一款很受歡迎的相片插件「 Responsive Lightbox 」含有可以執行任何腳本代碼的「 Cross Site Scripting ( XSS ) 」漏洞,可以讓攻擊者截取到目標對象的登入資料,從而取得受保護的資料、私自貼文,甚至騎劫帳戶。呼籲 WordPress 管理人立即更新有關的插件以免受害。

    Responsive Lightbox 經已推出更新修正有關漏洞
    Responsive Lightbox 經已推出更新修正有關漏洞

    今次的攻擊手法稱為「反射型 XSS」,攻擊者會以有漏洞的網站網址,插入可以在瀏覽器執行的 Javascript 惡意程式碼,來造出一條攻擊連結。然後會以電郵等方式引誘目標對象對按下那連結。由於網址正確,受害者在不虞有詐的情況下用那連結登入有漏洞的 WordPress 網站的話,雖然網站本身不會執行那惡意腳本,但在回應受害者時「反射」惡意腳本給受害者,令受害者的瀏覽器執行惡意腳本,例如將受害者的登入資料(如 Cookie )傳到攻擊者那邊,攻擊者就有機會截取受害者的登入狀態來進行下一步行動。

    反射型 XSS 的攻擊手法

    反射型 XSS 攻擊手法

    1. 攻擊者將惡意腳本插入網址製成連結
    2. 將連結寄給受害者
    3. 受害者透過連結登入有漏洞的 WordPress 網站
    4. 網站將惡意腳本「反射」給受害者
    5. 受害者的瀏覽器執行惡意腳本,將登入資料傳送給攻擊者

    所以大家在收到含有連結的電郵時,一定要格外小心,尤其是在連到需要登入的網站時,以免誤將連結中的惡意腳本傳到網站而「反射」到自己的瀏覽器。

    您會感興趣的內容

    相關文章