精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當前位置:安全行業動態 → 正文

小漏洞大危害:點擊劫持你的谷歌賬戶

責任編輯:editor005 作者:fber |來源:企業網D1Net  2015-05-06 14:52:04 本文摘自:FreeBuf

谷歌近日修復了一個點擊劫持漏洞,攻擊者可利用該漏洞恢復或者刪除Gmail對話、刪除YouTube播放列表、掌控Google+賬戶等等。

小漏洞大危害:點擊劫持你的谷歌賬戶

  百科:點擊劫持

這個詞首次出現在2008年,是由互聯網安全專家羅伯特·漢森和耶利米·格勞斯曼首創。簡單來說:當你打開一個網頁出現一個flash廣告框,點擊“關閉”按鈕,可結果廣告并沒有關閉,卻變成了全屏,這樣的情況在計算機安全領域叫做點擊劫持。

漏洞報告

攻擊者會創建一個按鈕,然后欺騙受害者點擊該按鈕,一旦受害者點擊了該按鈕,攻擊者會在幕后操縱一系列的惡意操作。

攻擊者可利用該漏洞進行的操作是:

1.刪除你YouTube的全部播放列表

2.刪除你的博客/發布的信息/評論

3.刪除郵件會話進程,恢復郵件/附件

4.得到你Google+中的活動信息和好友列表

5.基本上可以完成Google API所能完成的所有事情(developers.google.com)

在下面的例子中Yibelo向大家演示了如何利用點擊劫持漏洞刪除YouTube播放列表,以下是一些前提條件:

1.受害者之前授權過Google的應用程序編程接口(API),并且仍然允許其運行。(這樣便可以輕而易舉地對它進行操控)

2.受害者訪問我們的惡意網站.(點擊劫持就發生在這里)

3.受害者的播放列表ID。(可以公開獲取)

當受害者點擊執行之后,類似下面的鏈接就會刪除播放列表的ID PLFJifqT2CnZUvX3VRu66wqCNq8WLzlfE1(developers.google.com域是可以劫持的)。

https://developers.google.com/apis-explorer/#search/youtube/m/youtube/v3/youtube.playlists.delete?id=PLFJifqT2CnZUvX3VRu66wqCNq8WLzlfE1&_h=1

攻擊者會對域名進行最基本的設計,然后在頁面上放一個明顯的按鈕,例如類似于“點這贏取免費的iphone”等按鈕。然后,一旦受害者點擊了它…Duang!播放列表就消失了!

同樣的方法可以實施其他的惡意操作。

結論

谷歌于4月21日給予Paulos Yibelo 1337美元的獎金。

大家普遍認為UI修正/點擊劫持是一低危的漏洞,防護措施也非常容易,盡管如此還是有很多應用程序是被這種漏洞攻破的。不過一次輕而易舉的點擊就可使谷歌賬號被完全劫持,而簡單的X-Frame-Options就可解決這一問題。

關鍵字:谷歌點擊劫持播放列表

本文摘自:FreeBuf

x 小漏洞大危害:點擊劫持你的谷歌賬戶 掃一掃
分享本文到朋友圈
當前位置:安全行業動態 → 正文

小漏洞大危害:點擊劫持你的谷歌賬戶

責任編輯:editor005 作者:fber |來源:企業網D1Net  2015-05-06 14:52:04 本文摘自:FreeBuf

谷歌近日修復了一個點擊劫持漏洞,攻擊者可利用該漏洞恢復或者刪除Gmail對話、刪除YouTube播放列表、掌控Google+賬戶等等。

小漏洞大危害:點擊劫持你的谷歌賬戶

  百科:點擊劫持

這個詞首次出現在2008年,是由互聯網安全專家羅伯特·漢森和耶利米·格勞斯曼首創。簡單來說:當你打開一個網頁出現一個flash廣告框,點擊“關閉”按鈕,可結果廣告并沒有關閉,卻變成了全屏,這樣的情況在計算機安全領域叫做點擊劫持。

漏洞報告

攻擊者會創建一個按鈕,然后欺騙受害者點擊該按鈕,一旦受害者點擊了該按鈕,攻擊者會在幕后操縱一系列的惡意操作。

攻擊者可利用該漏洞進行的操作是:

1.刪除你YouTube的全部播放列表

2.刪除你的博客/發布的信息/評論

3.刪除郵件會話進程,恢復郵件/附件

4.得到你Google+中的活動信息和好友列表

5.基本上可以完成Google API所能完成的所有事情(developers.google.com)

在下面的例子中Yibelo向大家演示了如何利用點擊劫持漏洞刪除YouTube播放列表,以下是一些前提條件:

1.受害者之前授權過Google的應用程序編程接口(API),并且仍然允許其運行。(這樣便可以輕而易舉地對它進行操控)

2.受害者訪問我們的惡意網站.(點擊劫持就發生在這里)

3.受害者的播放列表ID。(可以公開獲取)

當受害者點擊執行之后,類似下面的鏈接就會刪除播放列表的ID PLFJifqT2CnZUvX3VRu66wqCNq8WLzlfE1(developers.google.com域是可以劫持的)。

https://developers.google.com/apis-explorer/#search/youtube/m/youtube/v3/youtube.playlists.delete?id=PLFJifqT2CnZUvX3VRu66wqCNq8WLzlfE1&_h=1

攻擊者會對域名進行最基本的設計,然后在頁面上放一個明顯的按鈕,例如類似于“點這贏取免費的iphone”等按鈕。然后,一旦受害者點擊了它…Duang!播放列表就消失了!

同樣的方法可以實施其他的惡意操作。

結論

谷歌于4月21日給予Paulos Yibelo 1337美元的獎金。

大家普遍認為UI修正/點擊劫持是一低危的漏洞,防護措施也非常容易,盡管如此還是有很多應用程序是被這種漏洞攻破的。不過一次輕而易舉的點擊就可使谷歌賬號被完全劫持,而簡單的X-Frame-Options就可解決這一問題。

關鍵字:谷歌點擊劫持播放列表

本文摘自:FreeBuf

電子周刊
回到頂部

關于我們聯系我們版權聲明隱私條款廣告服務友情鏈接投稿中心招賢納士

企業網版權所有 ©2010-2024 京ICP備09108050號-6 京公網安備 11010502049343號

^
  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 马尔康县| 浮山县| 东港市| 章丘市| 湖南省| 抚顺县| 永泰县| 鄢陵县| 临清市| 永昌县| 嘉义县| 迭部县| 隆昌县| 阿城市| 房产| 平原县| 崇义县| 新沂市| 琼结县| 杭锦后旗| 丘北县| 西充县| 海口市| 丰都县| 洛浦县| 灵石县| 日喀则市| 吴堡县| 蒲城县| 临武县| 松滋市| 锡林郭勒盟| 文山县| 平湖市| 板桥市| 安溪县| 黄石市| 怀集县| 紫阳县| 台南市| 哈密市|