freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

小漏洞大危害:点击劫持你的谷歌账户 金币
2015-05-06 00:54:57

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

谷歌近日修复了一个点击劫持漏洞,攻击者可利用该漏洞恢复或者删除Gmail对话、删除YouTube播放列表、掌控Google+账户等等。

FreeBuf百科:点击劫持

这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创。简单来说:当你打开一个网页出现一个flash广告框,点击“关闭”按钮,可结果广告并没有关闭,却变成了全屏,这样的情况在计算机安全领域叫做点击劫持。

漏洞报告

攻击者会创建一个按钮,然后欺骗受害者点击该按钮,一旦受害者点击了该按钮,攻击者会在幕后操纵一系列的恶意操作。

攻击者可利用该漏洞进行的操作是:

1.删除你YouTube的全部播放列表
2.删除你的博客/发布的信息/评论
3.删除邮件会话进程,恢复邮件/附件
4.得到你Google+中的活动信息和好友列表
5.基本上可以完成Google API所能完成的所有事情(developers.google.com)

在下面的例子中Yibelo向大家演示了如何利用点击劫持漏洞删除YouTube播放列表,以下是一些前提条件:

1.受害者之前授权过Google的应用程序编程接口(API),并且仍然允许其运行。(这样便可以轻而易举地对它进行操控)
2.受害者访问我们的恶意网站.(点击劫持就发生在这里)
3.受害者的播放列表ID。(可以公开获取)

当受害者点击执行之后,类似下面的链接就会删除播放列表的ID PLFJifqT2CnZUvX3VRu66wqCNq8WLzlfE1(developers.google.com域是可以劫持的)。

https://developers.google.com/apis-explorer/#search/youtube/m/youtube/v3/youtube.playlists.delete?id=PLFJifqT2CnZUvX3VRu66wqCNq8WLzlfE1&_h=1

攻击者会对域名进行最基本的设计,然后在页面上放一个明显的按钮,例如类似于“点这赢取免费的iphone”等按钮。然后,一旦受害者点击了它…Duang!播放列表就消失了!

同样的方法可以实施其他的恶意操作。

结论

谷歌于4月21日给予Paulos Yibelo 1337美元的奖金。

大家普遍认为UI修正/点击劫持是一低危的漏洞,防护措施也非常容易,尽管如此还是有很多应用程序是被这种漏洞攻破的。不过一次轻而易举的点击就可使谷歌账号被完全劫持,而简单的X-Frame-Options就可解决这一问题。

* 参考来源threatpostpaulosyibelo,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

本文作者:, 转载请注明来自FreeBuf.COM

# 点击劫持 # 谷歌
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑