Đăng Nhập
Tìm kiếm
Top posting users this month
No user |
Thống Kê
Hiện có 4 người đang truy cập Diễn Đàn, gồm: 0 Thành viên, 0 Thành viên ẩn danh và 4 Khách viếng thăm Không
Số người truy cập cùng lúc nhiều nhất là 58 người, vào ngày Wed Aug 02, 2017 7:50 pm
Người sử dụng các dịch vụ của Yahoo có thể bị mất mật khẩu
SeHTF :: Câu lạc bộ An ninh mạng for Security 2TVN :: Thông tin IT cập nhật IT by Security 2TVN :: Báo IT thường ngày IT by Security 2TVN
Trang 1 trong tổng số 1 trang
07072010
Người sử dụng các dịch vụ của Yahoo có thể bị mất mật khẩu
Người sử dụng các dịch vụ của Yahoo có thể bị mất mật khẩu | ||||||||||||||||
10:41:09, 05/11/2009 | ||||||||||||||||
1. Thông tin chung Mới đây, một lỗ hổng nghiêm trọng trên dịch vụ web của Yahoo đã được công bố. Đây là lỗ hổng cho phép hacker có thể lấy được mật khẩu truy nhập vào tài khoản người sử dụng của Yahoo. Từ đó hacker sử dụng tài khoản này để thực hiện các ý đồ xấu như phát tán thư rác, tin nhắn rác, mạo nhận thông tin, đánh cắp các thông tin quan trọng…
2. Mô tả kỹ thuật Thông thường, quá trình người sử dụng đăng nhập vào hệ thống của Yahoo sẽ phải trải qua những bước kiểm tra an ninh đặc biệt, trong đó bao gồm cả việc hạn chế số lần đăng nhập không chính xác. Thông tin trả về cho người sử dụng không chỉ rõ thành phần không chính xác mà chỉ là những thông báo mang tính chất chung. Những bước kiểm tra này giúp phòng chống kiểu tấn công brute force - kiểu tấn công mà hacker sẽ thử tất cả các trường hợp có thể có của mật khẩu cho đến khi tìm thấy mật khẩu chính xác. Tuy nhiên Yahoo lại cung cấp ứng dụng web cho phép tự động đăng nhập người dùng mà không tuân theo tất cả các bước kiểm tra an ninh nói trên, qua đó các hacker có thể lợi dụng để thực hiện các cuộc tấn công brute force. Hệ thống chứng thực dịch vụ web (web services authentication systems) còn được biết đến với định danh “config/isp_verify_user” là một ứng dụng web được rất nhiều dịch vụ web của Yahoo sử dụng để chứng thực người sử dụng của mình. Khi người sử dụng nhập thông tin đăng nhập qua trình duyệt, họ sẽ nhận được các kết quả tương ứng:
Với những thông tin này, hacker hoàn toàn có thể thực hiện một cuộc tấn công brute focre để quét được mật khẩu của người sử dụng bất kì qua nhiều cách khác nhau. Bên cạnh đó, hệ thống quản lý mật khẩu của Yahoo chỉ yêu cầu người dùng đặt mật khẩu có độ dài tối thiểu 6 kí tự và cho phép đặt những mật khẩu đơn giản dễ bị đoán như “123456” hay “abcdef”... Trên thực tế, rất nhiều người dùng sử dụng các mật khẩu đơn giản cho tài khoản email của mình.. Điều này, giúp cho hacker dễ dàng thành công hơn trong các cuộc tấn công. 3. Khuyến cáo Hiện tại Yahoo chưa đưa ra giải pháp nào cho vấn đề này. Vì vậy, chúng tôi khuyến cáo những người sử dụng các dịch vụ của Yahoo đặt mật khẩu mạnh (mật khẩu bao gồm chữ hoa, chữ thường, kí tự số và dài ít nhất 8 kí tự). Các bạn có thể tham khảo hướng dẫn sử dụng mật khẩu hiệu quả tại [You must be registered and logged in to see this link.]. |
Admin- Chủ Tịch Se S2T
- Con Giáp :
Tuổi giáp Trung Hoa :
Tổng số bài gửi : 1481
Điểm Se S2T : 88055
Sinh Nhật : 03/11/1990
Tham gia ngày : 27/08/2009
Tuổi : 33
Đến từ : Äồng Há»›i City
Sở thích : Máy tÃnh, Soft, AV....
Tính hài hước : Bình thÆ°á»ng
Huy chương
Sức mạnh:
(100/100)
Điểm SeS2T:
(50/50)
Similar topics
» CMC MegaVNN dành cho những người sử dụng Internet của Mega VNN. Người dùng sẽ được tự động cập nhập phiên bản CMC MegaVNN.
» Dùng antivirus có thực sự là tốt ? Và Phần mềm nào là hữu dụng đáp ứng yêu cầu của mọi người dùng ?
» Bộ ứng dụng khôi phục mật khẩu '5 trong 1'
» VÕ DƯỠNG SINH - Dịch cân kinh biến người yếu thành khỏe
» Cấu hình mạng ADSL cho người dùng tại nhà
» Dùng antivirus có thực sự là tốt ? Và Phần mềm nào là hữu dụng đáp ứng yêu cầu của mọi người dùng ?
» Bộ ứng dụng khôi phục mật khẩu '5 trong 1'
» VÕ DƯỠNG SINH - Dịch cân kinh biến người yếu thành khỏe
» Cấu hình mạng ADSL cho người dùng tại nhà
Permissions in this forum:
Bạn không có quyền trả lời bài viết