雅虎搜尋引擎遭掛馬利用！注意！

平常用 Yahoo 搜尋引擎的人要特別注意了。搜尋結果會出現帶有 XSS 攻擊的連結，若是連結目標網站存在 XSS 漏洞，會導致瀏覽者的瀏覽器軟體遭受攻擊，系統有被植入惡意程式的風險。這是網頁掛馬手法的翻新利 ...     平常用 Yahoo 搜尋引擎的人要特別注意了。搜尋結果會出現帶有 XSS 攻擊的連結，若是連結目標網站存在 XSS 漏洞，會導致瀏覽者的瀏覽器軟體遭受攻擊，系統有被植入惡意程式的風險。這是網頁掛馬手法的翻新利用。該惡意連結與先前<駭客集團於新年假期展開罕見之大規模SQL Injection攻擊>一文的惡意連結相同。


詳細分析其中一個搜尋連結：


直接搜尋"inurl:daxia123"的連結：

可以看到很多搜尋連結夾帶攻擊碼，如果點選連結，配合 XSS 漏洞，會導致瀏覽者遭受攻擊。

直接搜尋"inurl:jxmmtv"的連結：

手法跟 daxia123 幾乎是一樣的，當然，因為是一夥的。

研判可能原因有：
1.大量掛馬的網頁，造成雅虎搜尋引擎抓到網頁連結時，就是已經被掛馬的連結，導致搜尋連結帶有惡意網址。
2.有人大量餵給雅虎搜尋引擎掛馬連結，導致搜尋結果的連結，帶有惡意網址。

先前 google 也有遭利用，被用來進行掛馬攻擊，可以參考 鳥毅-<Googlt Bot會找漏洞>一文。
关键字：漏洞