本文来自于:核桃博客
原文链接:http://www.hetaoblog.com/facebook-twitter-failed-in-security-test/
Digital Society对11个美国网站的安全性进行了研究,其中,著名社交网站Facebook和Twitter获得了最低分, F级(Fail grade); 其中Gmail获得了最高分A, hotmail和Flickr获得了D-;
其中最重要的一点是,在登录验证的时候,Facebook和Twitter都没有采取SSL的方式来认证;
下面是全部的测试结果,其中Partial sidejack表示攻击者获得了用户认证的Cookie,从而获得了部分的用户权限;Full sidejack表示攻击者可以获得用户的全部信息,除了不能改密码以外(因为改密码需要输入旧密码), Full hijack表示攻击者可以获得你所有的信息,包括改用户名和密码;
如果一个站点在登录的时候没有进行SSl的方式来认证,那么,攻击者就可以获得Full hijack,就是获得你的全部权限,甚至改你的用户名和密码;
安全测试结果" alt="" src="/Upload/Images/2010111109/85D2377780496E25.jpg" />