在LastPass当工程师真是糟糕透了。一具流行的密码治理器的创造商刚不久修复了一具严峻的漏洞，那个漏洞允许攻击者窃取用户存储的密码，如今另一具研究人员发觉了一具单独的漏洞，他讲那个漏洞允许对LastPass举行彻底远程攻击。周三，研究人员Mathias Karlsson披露了他在LastPass中发觉的一具漏洞，该漏洞使他可以诱骗扫瞄器扩展放弃受害者的所有密码。那个bug存在于扩展解析url的方式上，Karlsson发觉经过以某种方式构造url，他能够获得LastPass扩展来显示给定目标站点上用户的凭证。"自动填充功能中发觉了允许我提取密码的错误。Karlsson在一篇文章中讲："首先，代码解析URL以确定扫瞄器当前所在的域，接着用存储的凭据填写任何登录表单，然而URL解析代码有缺陷。"。"经过扫瞄此URL：@呵呵.php扫瞄器将当前域视为阿夫利迪恩布鲁恩而扩展会将其视为twitter.com. 由于只编码的URL对最终浮上的@举行了编码，所以实际域被视为URL的用户名部分。""是的，这彻底是一种遥不可及的妥协。"接着，DDoS防御，LastPass扩展将在目标站点上填写用户的凭据。卡尔森讲，他能够去其他网站，以同样的方式收集用户的证书。他报告了LastPass的漏洞，那个漏洞基本修复了。然而还有另一具要紧的弱点正在逼近，它看起来至少和卡尔森发觉的一样严峻。谷歌的特拉维斯·奥曼迪（travisormandy）周二晚表示，他在LastPass中发觉了一具漏洞，使得远程攻击者可以彻底破坏机器。"完整报告已发送至LastPass，他们正在处理中。是的，CC防御，这是一具彻底遥不可及的妥协，"奥曼迪在推特上讲。奥曼迪没有透露他发觉的漏洞确实切细节，CC防御，但他在过去几个月里向来在研究安全软件中的漏洞，并在来自赛门铁克（Symantec）、卡巴斯基实验室（Kaspersky Lab）和其他几家安全公司的应用程序中发觉了数量惊人的严峻缺陷。

当前位置：主页 > CC防护 > 马来西亚网DDoS高防站防攻击