日子還能不能好好過了？咖啡還能不能好好喝了？去星巴克還能不能讓人盡情裝裝X？(笑)黑客說：不行~

　　近日，來自埃及的獨(dú)立安全研究員Mohamed M. Fouad在星巴克網(wǎng)址上發(fā)現(xiàn)了三個嚴(yán)重漏洞，黑客可以通過利用該漏洞獲得用戶賬號的權(quán)限。

　　這三個漏洞分別是：

　　遠(yuǎn)程代碼執(zhí)行

　　遠(yuǎn)程文件包含(釣魚攻擊)

　　CSRF(跨站請求偽造)

　　漏洞描述：

　　WEB服務(wù)器的遠(yuǎn)程代碼執(zhí)行：在客戶端存在遠(yuǎn)程代碼執(zhí)行，黑客可以通過執(zhí)行如XSS等攻擊進(jìn)行數(shù)據(jù)竊取和操作，如用戶在星巴克網(wǎng)站存儲的信用卡信息等。

　　遠(yuǎn)程文件包含：黑客可以將任意地址的文件注入到目標(biāo)頁面，其中包含源代碼解析執(zhí)行等攻擊。

　　使用CSRF劫持星巴克賬戶：黑客可以利用CSRF跨站請不過，Mohamed也表示星巴克團(tuán)隊(duì)在十幾天前已經(jīng)修復(fù)了漏洞�？尚Φ氖�，他曾將漏洞報(bào)告兩度發(fā)給星巴克，但沒有得到任何回應(yīng)。后來，Mohamed將漏洞報(bào)告給了US-CERT，星巴克團(tuán)隊(duì)才修復(fù)了它。但重點(diǎn)在于，星巴克是有漏洞獎金計(jì)劃的，那么辛勤的白帽子Mohamed同學(xué)有沒有拿到漏洞獎金呢？

　　據(jù)悉，這筆獎金目前還存在在他深深的腦海里……

　　求偽造攻擊，讓一個合法用戶代他們發(fā)起攻擊行為，比如說服人們點(diǎn)擊他們的HTML頁面、往目標(biāo)站點(diǎn)插入任意HTML頁面等。攻擊者通過用CSRF誘騙用戶點(diǎn)擊URL，更改存儲的賬戶信息和密碼，以達(dá)到劫持受害者的賬戶、刪除帳戶，或者改變受害者綁定的郵件地址等目的。

　　所以如果你在星巴克網(wǎng)站注冊過會員，那么建議還是去改改密碼吧。

　　要是以為黑客只會去黑一黑某政府、某電商、某售票平臺、某色情網(wǎng)址之類的東西可就大錯特錯了。據(jù)了解，星巴克已經(jīng)不是第一次“招黑”了。

　　在今年5月，星巴克官方承認(rèn)了星巴克App被黑事實(shí)，黑客侵入受害者的線上星巴克賬戶，通過添加并購買禮品卡將用戶的錢偷走。而星巴克網(wǎng)站也擁有數(shù)百萬注冊用戶，他們在賬戶填寫了自己的信用卡信息，而新發(fā)現(xiàn)的漏洞可能導(dǎo)致這些信息的泄露。

　　不過，Mohamed也表示星巴克團(tuán)隊(duì)在十幾天前已經(jīng)修復(fù)了漏洞�？尚Φ氖�，他曾將漏洞報(bào)告兩度發(fā)給星巴克，但沒有得到任何回應(yīng)。后來，Mohamed將漏洞報(bào)告給了US-CERT，星巴克團(tuán)隊(duì)才修復(fù)了它。但重點(diǎn)在于，星巴克是有漏洞獎金計(jì)劃的，那么辛勤的白帽子Mohamed同學(xué)有沒有拿到漏洞獎金呢？

　　據(jù)悉，這筆獎金目前還存在在他深深的腦海里……（雷鋒網(wǎng)）

星巴克麗江第一家門店昨開業(yè) 選址5596商業(yè)街區(qū)

星巴克轉(zhuǎn)型互聯(lián)網(wǎng)+ 借”第四空間“浴火重生

統(tǒng)一星巴克全新概念店“龍門咖啡棧”10月開業(yè)

星巴克西寧力盟店和國芳店正式開業(yè)

星巴克、7-11等餐企為何都熱衷蜂巢式布局？

搜索更多: 星巴克