真钱21点

帧注入攻击谷歌缺陷

谷歌的Gmail登录页面可能会因网络钓鱼攻击而被欺骗,使用帧注入技术并利用谷歌域漏洞该声明来自GNUCitizen道德黑客集体的阿德里安牧师,他开发了一个概念验证(PoC)示例牧师在GNUCitizen博客上发布了针对Google的框架注入P真钱21点oC示例他解释说框架注入的工作原理是将第三方网站的URL插入网站地址中的targeturl参数,而不是原始在针对Google的PoC示例中,结果是一个看似合法的Gmail登录页面,可用于针对用户发起网络钓鱼攻击当用户名和密码填写完毕并且用户点击提交时,他们的登录凭据转到攻击者控制的第三方网页攻击者设法显示非合法的第三方网页,而合法网域(在本例中为)显示在地址中essbar,牧师在博客中写道帧注入攻击的优点在于攻击者能够冒充受信任的实体而无需绕过XSSHTMLi过滤器甚至闯入目标服务器牧师的例子利用跨域Web应用程序共享安全设计漏洞在Google的网站上,安全研究员AvivRaff在4月向谷歌报道在他的博客中,Raff解释说,可以跨多个子域访问Gmail,Google地图,图像和新闻等Google应用程序例如,Google新闻可以托管在Google地图子域中框架注入PoC示例利用Google图像和Google域漏洞允许欺骗页面来自Gmail域,通过利用跨域共享问题来显示Gmail的域名,攻击者可以对Gmail用户进行令人信服的网络钓鱼攻击虽然PoC示例页面与Gmail的登录页面类似,一些元素将其标记为非法首先,地址以开头登录时Gmail始终为SSL此外,谷歌发言人周一告诉,框架的顶部将其标识为图像搜索结果,进一步将页面标记为可疑谷歌表示已经意识到这一概念,如果它确实成为一种疯狂的攻击,谷歌将采取措施解决这个问题谷歌发言人周一告诉,我们已经意识到,当服务跨多个域托管时,这种行为可能会出现这种行为,我们会采取措施将其限制在我们认为可能产生安全后果的地方参见原创文章在上。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

相关文章阅读