【编者按】近日，来自埃及的独立安全研究员Mohamed M Fouad在星巴克网址上发现了三个严重漏洞，黑客可以通过利用该漏洞获得用户账号的权限。

　　　　

　　日子还能不能好好过了?咖啡还能不能好好喝了?去星巴克还能不能让人尽情装装X?(笑)黑客说：不行~

 

　　近日，来自埃及的独立安全研究员Mohamed M. Fouad在星巴克网址上发现了三个严重漏洞，黑客可以通过利用该漏洞获得用户账号的权限。

　　

　　这三个漏洞分别是：

 

　　远程代码执行

　　远程文件包含(钓鱼攻击)

　　CSRF(跨站请求伪造)

　　漏洞描述：

　　WEB服务器的远程代码执行：在客户端存在远程代码执行，黑客可以通过执行如XSS等攻击进行数据窃取和操作，如用户在星巴克网站存储的信用卡信息等。

　　远程文件包含：黑客可以将任意地址的文件注入到目标页面，其中包含源代码解析执行等攻击。

　　使用CSRF劫持星巴克账户：黑客可以利用CSRF跨站请求伪造攻击，让一个合法用户代他们发起攻击行为，比如说服人们点击他们的HTML页面、往目标站点插入任意HTML页面等。攻击者通过用CSRF诱骗用户点击URL，更改存储的账户信息和密码，以达到劫持受害者的账户、删除帐户，或者改变受害者绑定的邮件地址等目的。

　　所以如果你在星巴克网站注册过会员，那么建议还是去改改密码吧。

　　要是以为黑客只会去黑一黑某政府、某电商、某售票平台、某色情网址之类的东西可就大错特错了。据了解，星巴克已经不是第一次“招黑”了。

　　在今年5月，星巴克官方承认了星巴克App被黑事实，黑客侵入受害者的线上星巴克账户，通过添加并购买礼品卡将用户的钱偷走。而星巴克网站也拥有数百万注册用户，他们在账户填写了自己的信用卡信息，而新发现的漏洞可能导致这些信息的泄露。

　　

　　不过，Mohamed也表示星巴克团队在十几天前已经修复了漏洞。可笑的是，他曾将漏洞报告两度发给星巴克，但没有得到任何回应。后来，Mohamed将漏洞报告给了US-CERT，星巴克团队才修复了它。但重点在于，星巴克是有漏洞奖金计划的，那么辛勤的白帽子Mohamed同学有没有拿到漏洞奖金呢?

 

　　据悉，这笔奖金目前还存在在他深深的脑海里……