报告的网站上的缺陷就比找到更长的时间
英国税务局必须提高网站的安全性问题的处理,一位专家说他花了57天时间试图报告错误。
研究者Zemnmez,发现在英国税务及海关总署发现两处纳税服务存在缺陷。
他说,找谁报告问题比发现错误,更具挑战性。而英国税务及海关总署表示已经解决该问题。
Zemnmez说,利用漏洞可以让攻击者从查看或修改英国人税收记录或获得关键细节。
他告诉英国广播公司:“我花了几天的时间试图在政府的社会媒体帐户反应问题,但是得到的回应都没有任何意义”。
国家网络安全中心建议英国政府对安全
共同的弱点
由于Zemnmez正在使用该网站来检查他的税收,发现了HMRC网站容易受到攻击的线索。
他在其他网站上发现类似错误的专业知识和经验表明,HMRC登录系统与浏览器互动的方式使其易受到一些众所周知的攻击。
经过短时间的实验,他发现有可能使用HMRC网站作为“转发服务”,并将受害者发送到攻击者想要的任何站点。
“这可以用来哄骗受害者揭示财务信息,凭据和用户名和密码,”他说。
发现缺陷涉及挖掘HMRC网站的代码
