整个网络 最新的文章 最热门的*五*个话题 G多点 G事八卦 G源共享 挨踢G讯

一月 15, 2007

Google漏洞可让黑客完全控制用户帐号(已修复)

由. Ken Wong 将文章归档于 G事八卦

Google漏洞可让黑客完全控制用户帐号(已修复)

  不管你的密码在Google的眼里安全等级有多高,黑客还是可以轻易地利用Google的漏洞而完全控制你的Google帐号。这并不是天方夜谭,而正是最近这两天发生的事。发现这个漏洞的不是别人,正是之前常常以挖掘Google代码为乐的Tony Ruscoe他的代表作)。

  为了验证Tony发现的这个漏洞,Philipp亲自和他做了个实验。实验过程很简单,Tony给Philipp发送一个放置在xxx.google.com上面的网页的链接,Philipp只需点击它,Tony即获得了Philipp的Google帐户的所有权限(Philipp点击网页链接时Google帐号处于登入状态)!这是一个很容易让人上当的过程,因为在绝大多数情况下,在Google官方子域名上面的网页,我们都认为是安全的。

  上面的实验的原理是Tony事先写了一段代码,并且把它放在网页上,再利用Google的漏洞,把这个网页放上Google子域名上。当Philipp(或任何Google帐户处于已登录状态的Google用户)进入这个网页时,Philipp的Google cookies就会被自动发送给Tony,而Tony则可以从Philipp的Google cookies里获得Philipp的Google帐户的资料,甚至还可以直接更改Philipp的密码。也就是说,Tony通过这样一个简单的网页,即可完全控制了Philipp的Google帐户。要阅读Philipp的Gmail、更改他的Google Doc & Spreadsheets文档,又或者阅读他的Google搜索记录,都完全不在话下,轻而易举。

  这样的漏洞可导致的后果对于所有Google用户而言都是灾难性的,不过幸好Tony及时通知了Google,而Google则在3.5小时后就修复了这个漏洞。Tony今天在确认Google官方已经修复该漏洞的情况下,公开了漏洞的详情,大家可点击这里阅读。简单地说,Tony是抓住了Blogger新近增加的允许用户自行绑定域名功能的一个漏洞而达到目的的。

  如果你还记得,利用Google子域名来欺骗用户的事件之前已经发生过了,那正是去年9月发生的Gmail Plus事件。不过幸运的是,这两个发现漏洞的人都没有恶意,并且他们都在发现漏洞后,第一时间通知了Google,等漏洞被修复后才公开经过。这是正确的做法,因此如果某天你也发现了Google的安全性问题,建议第一时间通知Google,详细的联系方法可查看G速客之前的文章

广告


固定链接: Google漏洞可让黑客完全控制用户帐号(已修复)
关键词: Google  安全  漏洞  Blogger  域名 

引用: http://www.creative-weblogging.com/cgi-bin/mt-tb.pl/49290



广告


广告


广告


CW工具栏安设
RSSrss   | 所有的部落格订阅选择
Googlegoogle  |   什么是RSS?
YodaoYodao
Netvibes Netvibes
AnothrAnothr
时事通讯
点击联系广告合作.

使用我们的搜索寻找其他有趣的文章

这blog而已 全网络
广告 -
这里订您的.


 
点击联系广告合作.


  • 推荐书

  • GSeeker今天开始将恢复更新。
    ——Hong Xiaowan
    GSeeker(G速客;原“幻灭的麦克风”)是一个专注于Google及搜索行业的个人blog。非Google官方网站。我们试图记录真实的Google,包括它的花边新闻。Google不是我们的信仰,只是我们的兴趣。如果您发现与Google或搜索行业有关的有趣的信息,不妨给我们发邮件。感谢您的访问!
    ——Ken Wong(幻灭)
  • Other blogs in the same channel in the Creative Weblogging Network

广告 -
这里订您的.