星巴克上网需谨慎 黑客发现星巴克网址三严重漏洞

近日，来自埃及的独立安全研究员 Mohamed M. Fouad 在星巴克网址上发现了三个严重漏洞，黑客可以通过利用该漏洞获得用户账号的权限。这三个漏洞分别是：远程代码执行、远程文件包含（钓鱼攻击）、CSRF（跨站请求伪造）

WEB 服务器的远程代码执行：在客户端存在远程代码执行，黑客可以通过执行如 XSS 等攻击进行数据窃取和操作，如用户在星巴克网站存储的信用卡信息等。远程文件包含：黑客可以将任意地址的文件注入到目标页面，其中包含源代码解析执行等攻击。

使用 CSRF 劫持星巴克账户：黑客可以利用 CSRF 跨站请求伪造攻击，让一个合法用户代他们发起攻击行为，比如说服人们点击他们的 HTML 页面、往目标站点插入任意 HTML 页面等。攻击者通过用 CSRF 诱骗用户点击 URL，更改存储的账户信息和密码，以达到劫持受害者的账户、删除帐户，或者改变受害者绑定的邮件地址等目的。