报告的网站上的缺陷就比找到更长的时间
英国税务局必须提高网站的安全性问题的处理,一位专家说他花了57天时间试图报告错误。
研究者Zemnmez,发现在英国税务及海关总署发现两处纳税服务存在缺陷。
他说,找谁报告问题比发现错误,更具挑战性。而英国税务及海关总署表示已经解决该问题。
Zemnmez说,利用漏洞可以让攻击者从查看或修改英国人税收记录或获得关键细节。
他告诉英国广播公司:“我花了几天的时间试图在政府的社会媒体帐户反应问题,但是得到的回应都没有任何意义”。
国家网络安全中心建议英国政府对安全
共同的弱点
由于Zemnmez正在使用该网站来检查他的税收,发现了HMRC网站容易受到攻击的线索。
他在其他网站上发现类似错误的专业知识和经验表明,HMRC登录系统与浏览器互动的方式使其易受到一些众所周知的攻击。
经过短时间的实验,他发现有可能使用HMRC网站作为“转发服务”,并将受害者发送到攻击者想要的任何站点。
“这可以用来哄骗受害者揭示财务信息,凭据和用户名和密码,”他说。
发现缺陷涉及挖掘HMRC网站的代码
安全优佳
http://news.secwk.com
长按识别左侧二维码,关注我们
本文始发于微信公众号(安全优佳):英国税务局发现安全漏洞,而安全人员却无处报告漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论