研究人员周一在“Full Disclosure”(全面披露)网站发表的文章中称，安全公司McAfee的网站充满了安全错误。这些错误可导致跨站脚本攻击或者其他攻击。这些安全漏洞是YGN道德黑客组织发现的，并且在安全/黑客邮件列表公开披露这些安全漏洞之前，于2月10日向McAfee做了报告。
 

　　YGN在Full Disclosure网站发表的文章中称，除了跨站脚本攻击之外，YGN还发现了许多泄露信息的漏洞，其中包括泄露内部主机名称的漏洞和18个泄露源代码的漏洞。McAfee网站能够用于XC脚本攻击的这个部分托管了McAfee用于下载软件的文件。
 

　　这个事情不仅令人难堪，而且在某种程序上还影响了McAfee的信誉。McAfee向企业面向消费者的网站销售McAfee安全服务。McAfee网站称，McAfee安全软件每天扫描网站查找数千个黑客漏洞。如果这个网站获得McAfee高标准安全认证，那么，McAfee杀毒产品用户在自己的浏览器中就会看到一个“McAfee安全”标签。McAfee安全软件声称，可以测试网站的非故意托管的个人信息访问、危险网站链接、钓鱼攻击和其他嵌入的恶意软件危险。
 

　　巴西塞阿拉州大学信息安全研究团队的安全研究人员Pablo Ximenes在博客中称，“换句话说，出现这个安全标签应该意味着这个网站不会出现像McAfee网站现在拥有的相同的安全漏洞。不要误会我，我没有兴趣破坏McAfee的形象。我甚至拥有一家销售McAfee产品的公司。但是，这种严重不关心客户和转销商的情况是不能忽视的。”
 

　　据YGN称，在2月10日向McAfee报告其网站存在许多安全漏洞之后，McAfee称正在尽快解决这些问题。截止到3月27日，YGN发现这些安全漏洞完全没有修复，于是公开披露了这些安全漏洞。YGN向McAfee提出了两个半开玩笑的建议以解决这些问题：McAfee应该利用自己在2004年收购的Web安全服务公司Foundstone的网站安全专家;McAfee应该利用出站的流量监控以检测潜在的信息泄露。
 

　　这并非第一次发现McAfee网站缺少安全措施。在2008年，赛门铁克和VeriSign都发现McAfee网站存在跨站脚本攻击安全漏洞。
 

　　此外，在2009年，Team Elite的成员白帽黑客Methodman发布了针对kc.mcafee.com和mcafeerebates.com网站的概念证明攻击。在2010年4月，一次XC脚本攻击篡改了McAfee网站社区论坛的网页。
 

　　McAfee对《Network World》称，它正在对Full Disclosure网站发布的报告展开调查。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。