如果你在星巴克網(wǎng)站注冊過會員，那么建議你得改密碼了。

[[149722]]

星巴克網(wǎng)站多枚高危漏洞

星巴克擁有數(shù)百萬的注冊用戶，他們在賬戶填寫了自己的信用卡信息，而新發(fā)現(xiàn)的漏洞可能導致這些信息的泄露。

埃及的獨立安全研究員Mohamed M.表示，他在星巴克上發(fā)現(xiàn)了三個嚴重漏洞。黑客可以通過利用其中簡單的點擊劫持漏洞，獲取受害用戶賬號的權(quán)限。

這三個漏洞分別是：

遠程代碼執(zhí)行

遠程文件包含(釣魚攻擊)

CSRF(跨站請求偽造)

漏洞描述

遠程文件包含

黑客可以將任意地址的文件注入到該目標頁面，其中包含源代碼解析執(zhí)行之類的攻擊。

WEB服務器的遠程代碼執(zhí)行

在客戶端存在遠程代碼執(zhí)行，黑客可以執(zhí)行如XSS等攻擊。

通過釣魚攻擊可以進行數(shù)據(jù)竊取和操作，比如黑客可以竊取你在星巴克網(wǎng)站存儲的信用卡信息。

使用CSRF劫持星巴克賬戶

黑客利用CSRF跨站請求偽造攻擊，讓一個合法用戶代他們發(fā)起攻擊,他們可以：

說服人們點擊他們的HTML頁面。

往目標站點插入任意HTML頁面

在這種情況下，攻擊者可以用CSRF誘騙用戶點擊URL，在不經(jīng)意中更改存儲的賬戶信息和密碼。黑客可以劫持受害者的賬戶、刪除帳戶，或者改變受害者綁定的郵件地址。

視頻演示地址：https://www.youtube.com/watch?v=IjnHdcJi7n0

苦等獎金的白帽子

作為一名正義的白帽子，Mohamed將漏洞兩度報告給星巴克，但沒有得到任何回應。

Mohamed后來將漏洞報告給了US-CERT，而星巴克團隊在十幾天前修復了漏洞。星巴克在兩個月前開啟了漏洞獎金計劃，目前Fouad還在苦逼地等待星巴克團隊的回應和漏洞獎金。