新闻链接：b30K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3&6W2N6s2y4W2j5%4g2J5K9i4c8&6i4K6u0W2y4e0q4U0N6r3!0Q4x3X3g2U0L8$3#2Q4x3V1k6S2M7Y4c8Q4x3V1j5J5x3o6p5#2x3o6W2Q4x3V1j5@1z5e0p5^5z5e0q4Q4x3X3g2Z5N6r3@1`.
新闻时间：2015-09-20 21:02 
新闻正文：
星巴克网站多枚高危漏洞

星巴克拥有数百万的注册用户，他们在账户填写了自己的信用卡信息，而新发现的漏洞可能导致这些信息的泄露。

埃及的独立安全研究员Mohamed M.表示，他在星巴克上发现了三个严重漏洞。黑客可以通过利用其中简单的点击劫持漏洞，获取受害用户账号的权限。

这三个漏洞分别是：

远程代码执行
远程文件包含(钓鱼攻击)
CSRF(跨站请求伪造)
漏洞描述

远程文件包含

黑客可以将任意地址的文件注入到该目标页面，其中包含源代码解析执行之类的攻击。

WEB服务器的远程代码执行

在客户端存在远程代码执行，黑客可以执行如XSS等攻击。

通过钓鱼攻击可以进行数据窃取和操作，比如黑客可以窃取你在星巴克网站存储的信用卡信息。

使用CSRF劫持星巴克账户

黑客利用CSRF跨站请求伪造攻击，让一个合法用户代他们发起攻击,他们可以：

说服人们点击他们的HTML页面。

往目标站点插入任意HTML页面

在这种情况下，攻击者可以用CSRF诱骗用户点击URL，在不经意中更改存储的账户信息和密码。黑客可以劫持受害者的账户、删除帐户，或者改变受害者绑定的邮件地址。

视频演示地址：f1bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2&6L8%4g2@1N6h3u0W2i4K6u0W2j5$3!0E0i4K6u0r3N6$3q4@1j5$3S2Q4x3@1k6$3i4K6y4p5d9h3A6F1d9r3c8U0d9X3V1%4L8U0l9`.

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课