2007年10月,隐患研究人员发现Google的Gmail帐号容易受到跨站点伪造请求(CSRF)攻击,该隐患允许攻击者通过恶意网页将用户的邮件转发到攻击者邮箱。
2007年10月07日 16:03:00
某位隐患研究人员在昨天表示,
Google的
Gmail帐号很容易就会被黑掉,因为它允许把任何过去或将来的电子邮件转发到攻击者自己的邮箱。
这个隐患由网络隐患穿透测试人员Petko Petkov发现,他把隐患命名为"跨站点伪造请求(CSRF)"。在过去两周里,Petkov已经陆续公布了 QuickTime,Windows Media Player和PDF相关的关键bug和零日漏洞。
虽然Petkov拒绝透露隐患的细节,但是他表示攻击者可以利用Gmail的过滤功能来加以利用这个bug。他表示当受害者浏览某个特定的恶意网页并且 同时已经登陆了个人的Gmail帐户,那么攻击者就可以发动攻击。跟着用户浏览的恶意站点就会向某个Gmail应用程序接口发送Petkov称为 "multipart/form-date POST"的HTML命令,跟着就会在用户的过滤器列表中注入一个假的过滤器。
Google还没有立刻证实是否确实存在这个隐患,并且也没有透露如果确实存在隐患何时修复的问题。
这个隐患由网络隐患穿透测试人员Petko Petkov发现,他把隐患命名为"跨站点伪造请求(CSRF)"。在过去两周里,Petkov已经陆续公布了 QuickTime,Windows Media Player和PDF相关的关键bug和零日漏洞。
虽然Petkov拒绝透露隐患的细节,但是他表示攻击者可以利用Gmail的过滤功能来加以利用这个bug。他表示当受害者浏览某个特定的恶意网页并且 同时已经登陆了个人的Gmail帐户,那么攻击者就可以发动攻击。跟着用户浏览的恶意站点就会向某个Gmail应用程序接口发送Petkov称为 "multipart/form-date POST"的HTML命令,跟着就会在用户的过滤器列表中注入一个假的过滤器。
Google还没有立刻证实是否确实存在这个隐患,并且也没有透露如果确实存在隐患何时修复的问题。
欢迎访问风起水流软件
Trackback: http://tb.blog.youkuaiyun.com/TrackBack.aspx?PostId=1814061
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
