扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
将要在本周举行的拉斯维加斯Black Hat安全会议上,研究人员将会演示他们开发的一种可以从诸如Facebook、eBay和Google等流行网站窃取用户资料的软件技术。
据称攻击使用一种新型的混合类型文件GIFAR,这种文件是GIF和JAR两种类型文件的混合体,假如恶意将这种文件存放至可上传图片的网站上,GIFAR可以绕过安全系统,窃取浏览该图片用户的资料。在Black Hat大会上研究人员将演示如何制作这种GIFAR文件,但是将略过某些关键细节以防止其近期被用于大规模攻击。
对于Web服务器来说,这种文件就像是单纯的.gif图片,但是浏览器的Java虚拟机则会将其视为可运行的Java程序,这时攻击者便有机会在受害者的浏览器上运行恶意代码,而不会被发觉。通过将这种“图片”上传至流行的合法Web站点,就能窃取大量浏览者的账号等个人信息。
研究人员表示,制止这种攻击可以依靠Web站点加装新的文件过滤器或者通过限制Java虚拟机实现,不过要所有的网站做到万无一失恐怕还需要很长一段时间。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者