收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 McAfee Vulnerabilities in *McAfee.com
12下一页
返回列表 发新帖
查看: 3029|回复: 10
收起左侧

[转帖] Vulnerabilities in *McAfee.com

[复制链接]
liffey
发表于 2011-3-29 13:52:51 | 显示全部楼层 |阅读模式
McAfee栽在自己的网站上了。

Vulnerabilities in *McAfee.com


1. VULNERABILITY DESCRIPTION

-> Cross Site Scripting
   http://download.mcafee.com/produ ... op.location.replace('attacker.in')
               
-> Information Disclosure > Internal Hostname:
    http://www.mcafee.com/js/omniture/omniture_profile.js                       

    ($ ruby host-extract.rb -a
http://www.mcafee.com/js/omniture/omniture_profile.js)
        
-> Information Disclosure > Source Code Disclosure:

        view-source:http://download.mcafee.com/clini ... nc/cookiecommon.asp
        view-source:http://download.mcafee.com/clini ... oninc/appcommon.asp
        view-source:http://download.mcafee.com/clini ... nerCodesLibrary.asp
        view-source:http://download.mcafee.com/clinic/Includes/common.asp
        view-source:http://download.mcafee.com/updates/upgrade_patches.asp
        view-source:http://download.mcafee.com/updates/common/dat_common.asp
        view-source:http://download.mcafee.com/updates/updates.asp
        view-source:http://download.mcafee.com/updates/superDat.asp     
        view-source:http://download.mcafee.com/eval/evaluate2.asp
        view-source:http://download.mcafee.com/common/ssi/conditionals.asp
        view-source:http://download.mcafee.com/common/ssi/errHandler_soft.asp
        view-source:http://download.mcafee.com/common/ssi/variables.asp
        view-source:http://download.mcafee.com/commo ... em/oem_controls.asp
        view-source:http://download.mcafee.com/common/ssi/errHandler.asp
        view-source:http://download.mcafee.com/common/ssi/common_subs.asp
        view-source:http://download.mcafee.com/us/up ... tComparison_top.asp
        view-source:http://download.mcafee.com/us/bannerAd.asp
        view-source:http://download.mcafee.com/common/ssi/standard/global_foot_us.asp
        

2. RECOMMENDATION

- Fully utilize Mcafee FoundStone Experts
- Use outbound monitoring of traffic to detect potential information leakage


3. VENDOR

McAfee Inc
http://www.mcafee.com


4. DISCLOSURE TIME-LINE

2011-02-10: reported vendor
2011-02-12: vendor replied "we are working to resolve the issue as
quickly as possible"
2011-03-27: vulnerability found to be unfixed completely
2011-03-27: vulnerability disclosed


5. REFERENCES

Original Advisory URL:
http://yehg.net/lab/pr0js/advisories/sites/mcafee.com/[mcafee]_xss_infoleak
Former Disclosure, 2008:
http://www.theregister.co.uk/2008/06/13/security_giants_xssed/
Former Disclosure, 2009:
http://news.softpedia.com/news/M ... ttacks-110667.shtml
Former Disclosure, 2010:
http://security-sh3ll.blogspot.c ... xss-defacement.html
host-extract: http://code.google.com/p/host-extract/
Demo: http://yehg.net/lab/pr0js/traini ... ing_McAfee_Secured/
xssed: http://www.xssed.com/search?key=mcafee.com
Lessont Learn: http://blogs.mcafee.com/mcafee-l ... m-a-security-breach原文地址

评分

参与人数 1经验 +5 收起 理由
大猫熊 + 5 感谢提供分享:)

查看全部评分

回复

举报

sololp 该用户已被删除
发表于 2011-3-29 17:10:49 | 显示全部楼层
网络安全公司McAfee的官网竟然有很多安全隐患,这是颇令人感到讽刺的事情。它的营销部门如何让客户相信其产品能正确检测网站的安全性?

  安全研究人员发现www.mcafee.com有很多问题,可能会面临跨站脚本和其它类型的攻击。他们在2月10日通知了迈克菲,2月12日迈克菲表示正着手解决问题,3月27日发现漏洞没有完全修复,于是将其漏洞公诸于众。
回复

举报

KUANGE
发表于 2011-3-29 17:30:34 | 显示全部楼层
技术不到家,看不懂,哎
回复

举报

sololp 该用户已被删除
发表于 2011-3-29 17:32:19 | 显示全部楼层
回复 3楼 KUANGE 的帖子

就是mcafee网站有漏洞 这么简单个事
回复

举报

KUANGE
发表于 2011-3-29 17:35:20 | 显示全部楼层
回复 4楼 sololp 的帖子

这个倒是懂了
回复

举报

lamour
发表于 2011-3-29 17:40:15 | 显示全部楼层
我更感兴趣的是类似这种漏洞从发现到公布的程序是怎么走的
回复

举报

TIW
发表于 2011-3-29 23:37:53 | 显示全部楼层
谁知道是不是已经在规则上防御了 然后懒得理了
回复

举报

墨池
发表于 2011-3-30 10:03:49 | 显示全部楼层
一小偷在电视上说:警察局最容易偷!此言不虚呀!
回复

举报

猪头无双
头像被屏蔽
发表于 2011-3-30 10:05:00 | 显示全部楼层
mcafee的产品形象啊
回复

举报

sololp 该用户已被删除
发表于 2011-3-30 10:22:30 | 显示全部楼层
回复 9楼 猪头无双 的帖子

这个是mcafee第二次了 不过虽然有漏洞但是还没有被利用的报告.
网站漏洞很正常,黑客们气愤的是修复慢,这个慢性不只是反映在mcafee的网站上,产品也是如此
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-8 05:15 , Processed in 0.142810 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表