多个高危新型Web漏洞现身主流社交网站

随影求是
 随影求是
发布于 2012年04月03日
收藏 5

新华网天津4月2日电(记者张建新)国家计算机网络入侵防范中心近日在国内外多家主流社交网站及应用中发现了多个Web新型漏洞。对漏洞的分析表明,社交网站的安全隐私问题将不再局限于其自身,而已经扩展到了大量第三方应用。社交网络开始面临新的攻击威胁。

国家计算机网络入侵防范中心常务副主任张玉清领导的课题组首先发现了这种最新漏洞,均为JavaScript脚本执行漏洞。这种新型Web漏洞类似于传统的跨站脚本(XSS)漏洞,不同之处在于这种漏洞的利用都是基于Web API进行的。因此,课题组形象地将这种新型Web漏洞命名为“跨API脚本(Cross-API Scripting,简称XAS)漏洞”。

张玉清说,由不安全API导致的XAS漏洞存在于大量主流社交网站及应用中,包括人人网、腾讯微博、新浪轻博客、搜狐微博、Facebook iGoogle Gadget、Tumblr轻博客、社交聚合应用Hootsuite等等。

这种新型XAS安全漏洞大多属于高危Web漏洞,可以被利用进行蠕虫攻击、钓鱼攻击、窃取用户隐私等,严重威胁到社交网络及其用户的安全和隐私。

目前,这些社交网站尚未发布相应的解决方案和更新补丁。国家计算机网络入侵防范中心将与相关社交网站配合,共同修复这种新型Web高危漏洞,同时建议广大用户做好安全防护,增强使用社交网络的安全意识,防止黑客攻击。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:多个高危新型Web漏洞现身主流社交网站
加载中

最新评论(12

hokim
hokim
供自己网站使用的api ,必须限制在内网调用。供第三方使用的api,则必须规范,做好安全工作,比如反复身份验证等
地鼠特工队
地鼠特工队
我不懂的是,他为什么能访问Facebook
此人已死,有事烧纸
此人已死,有事烧纸
都在搞平台,平台是一般人能搞的吗?
LastRitter
LastRitter

引用来自“elonlucy2005”的评论

国家计算机网络入侵防范中心 牙防组一个级别的吧?

+1
七液
七液
这类漏洞不是10年就开始流行了嘛。都过去两年了
能放马的地方早就被放完了。现在才关注起来
01年后SQLInject开始流行。等到07,08年的时候才开始被反复强调安全安全。唉~防御远远的落后于入侵呀
树相马
树相马
希望公开漏洞!
ddatsh
ddatsh
jekyll 生成纯静态表示无压力
elonlucy2005
elonlucy2005
国家计算机网络入侵防范中心 牙防组一个级别的吧?

返回顶部
顶部