小漏洞大危害:點擊劫持你的谷歌賬戶

責任編輯:editor005

作者:fber

2015-05-06 14:52:04

摘自:FreeBuf

谷歌近日修復了一個點擊劫持漏洞,攻擊者可利用該漏洞恢復或者刪除Gmail對話、刪除YouTube播放列表、掌控Google+賬戶等等。

谷歌近日修復了一個點擊劫持漏洞,攻擊者可利用該漏洞恢復或者刪除Gmail對話、刪除YouTube播放列表、掌控Google+賬戶等等。

小漏洞大危害:點擊劫持你的谷歌賬戶

  百科:點擊劫持

這個詞首次出現(xiàn)在2008年,是由互聯(lián)網(wǎng)安全專家羅伯特·漢森和耶利米·格勞斯曼首創(chuàng)。簡單來說:當你打開一個網(wǎng)頁出現(xiàn)一個flash廣告框,點擊“關閉”按鈕,可結果廣告并沒有關閉,卻變成了全屏,這樣的情況在計算機安全領域叫做點擊劫持。

漏洞報告

攻擊者會創(chuàng)建一個按鈕,然后欺騙受害者點擊該按鈕,一旦受害者點擊了該按鈕,攻擊者會在幕后操縱一系列的惡意操作。

攻擊者可利用該漏洞進行的操作是:

1.刪除你YouTube的全部播放列表

2.刪除你的博客/發(fā)布的信息/評論

3.刪除郵件會話進程,恢復郵件/附件

4.得到你Google+中的活動信息和好友列表

5.基本上可以完成Google API所能完成的所有事情(developers.google.com)

在下面的例子中Yibelo向大家演示了如何利用點擊劫持漏洞刪除YouTube播放列表,以下是一些前提條件:

1.受害者之前授權過Google的應用程序編程接口(API),并且仍然允許其運行。(這樣便可以輕而易舉地對它進行操控)

2.受害者訪問我們的惡意網(wǎng)站.(點擊劫持就發(fā)生在這里)

3.受害者的播放列表ID。(可以公開獲取)

當受害者點擊執(zhí)行之后,類似下面的鏈接就會刪除播放列表的ID PLFJifqT2CnZUvX3VRu66wqCNq8WLzlfE1(developers.google.com域是可以劫持的)。

https://developers.google.com/apis-explorer/#search/youtube/m/youtube/v3/youtube.playlists.delete?id=PLFJifqT2CnZUvX3VRu66wqCNq8WLzlfE1&_h=1

攻擊者會對域名進行最基本的設計,然后在頁面上放一個明顯的按鈕,例如類似于“點這贏取免費的iphone”等按鈕。然后,一旦受害者點擊了它…Duang!播放列表就消失了!

同樣的方法可以實施其他的惡意操作。

結論

谷歌于4月21日給予Paulos Yibelo 1337美元的獎金。

大家普遍認為UI修正/點擊劫持是一低危的漏洞,防護措施也非常容易,盡管如此還是有很多應用程序是被這種漏洞攻破的。不過一次輕而易舉的點擊就可使谷歌賬號被完全劫持,而簡單的X-Frame-Options就可解決這一問題。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號