米Yahoo!の転職サイトにXSSの脆弱性、不正コードでcookie盗む - ITmedia エンタープライズ(情報元のブックマーク数)
アカウントを統合認証していると、一つでも問題があるとシステム全体まで影響するんですねぇ。大変だ。
米Yahoo!が運営する転職情報サービス「HotJobs」のWebサイトにクロスサイトスクリプティング(XSS)の脆弱性があり、ユーザー認証用のcookieが盗まれているのを見つけたと、英インターネットサービス企業のNetcraftが伝えた。
米Yahoo!の転職サイトにXSSの脆弱性、不正コードでcookie盗む - ITmedia エンタープライズ
Netcraftによると、Yahoo! HotJobsのサイトには、難読化されたJavaScriptが挿入され、yahoo.comに送られる認証cookieを盗んで攻撃側が運営する別のWebサイトに転送する仕掛けになっていた。盗んだ情報を使えば、攻撃者が被害者のYahoo! Mailなどのアカウントにアクセスできる。