骇客破解Yahoo认证架构
陈宛绮/报导
2009/01/21 下午5:10
http://news.networkmagazine.com.t...9/01/21/10192/ 一位骇客在本月16日宣称已经破解了Yahoo的认证架构,可以登入任何他想登入的帐号,取得所需的资讯。Yahoo奇摩表示,目前看来可能会有潜在的危险,但还正在了解情况中。
根据该名骇客在其部落格中所发表的文章描述,他已经破解了Yahoo的认证架构,并公布实际破解的方法。
藉由这种做法,该名骇客可以登入各种Yahoo所提供的服务,包括个人信箱、Profiles、Web Messenger、WAP Messenger、线上游戏、Geocities、Web Hosting、360 Blog、Briefcase、Address Book、Calender、Notes等,取得想要的资讯。
在该篇破解架构的论述中提及,其中以WAP Messenger与Geocities是最为脆弱的两项系统,没有严格的cookie checks,即使在一些栏位当中输入不正确的资料,仍然能够登入使用。因此该名骇客特别点名这两项服务应该要强化其安全措施。
该名骇客指出,目前Yahoo认证架构的漏洞足以影响上百万的使用者以及采用Yahoo网站代管的企业客户,甚至是使用Yahoo信箱的政府官员们,影响层面相当广泛。
对于认证架构被骇客破解,并公布实作方式,Yahoo奇摩表示,目前内部还在进行了解当中,依照目前的骇客所公布的资料看来,可能有存在潜在的安全问题,但一切也要等美国总部先做进一步的了解之后,才会再针对漏洞或缺失进行防护措施。
