漏洞允许在RapidShare.com上进行网络钓鱼邮件

最近由M86发现的不正确的输入验证漏洞’S研究人员可用于创建针对RapidShare用户的网络钓鱼消息。

通过测试服务器太忙时服务返回的错误消息进行了发现,漏洞已找到“downloaderror” field.

所以他们试过它并替换原来的“现在从此服务器下载太多用户。请稍后再试。”带有以下消息的消息:

除了错误消息外,我们还可以控制其他字段,如文件文件夹和文件名。

“这种不正确的输入验证可以帮助恶意攻击者在RapidShare.com中创建网络钓鱼页面,”他们解释说,但补充说,在研究人员通知他们的存在后,Rapidshare滥用团队已经解决了这个问题。

分享这个