科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道研究人员披露Google Apps安全漏洞

研究人员披露Google Apps安全漏洞

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

 近日,安全研究人员Raff表示,Google Maps中的一个XSS问题,可能绕过浏览器的同源政策以劫持Google、Gmail或Google Apps帐号。

来源:论坛整理 2008年10月16日

关键字: 网络安全 安全防范 漏洞

  • 评论
  • 分享微博
  • 分享邮件
 近日,安全研究人员Raff表示,Google Maps中的一个XSS问题,可能绕过浏览器的同源政策以劫持Google、Gmail或Google Apps帐号。

  两名资安研究人员Aviv Raff及Adrian Pastor,上周相继指出Google Apps含有安全设计上的漏洞。

  Raff在部落格中指出,使用者可以透过许多的Google子网域存取Google的多种网路应用程式,包括Google Maps、Gmail、Google Images、Google News及Google.com等,主要问题在骇客可利用这些跨网域的网路应用程式共享的安全设计漏洞。

  所谓的跨域共享网路应用程式指的是在特定的网域下可以连结其他网路应用程式,例如可在Google Maps网域下使用Google News服务。

  Raff表示,因此Google Maps中一个微小的XSS问题就可能绕过浏览器的同源政策(Same Origin Policy)以劫持Google、Gmail或Google Apps的帐号。

  而Pastor则公布了一个相关的概念性验证程式,可用以攻击Google Images中的页框注射(frame injection)漏洞,在Google Images中嵌入一个假的Gmail登入网页,然后使用跨网域的网路应用程式共享漏洞进一步让使用者相信这是一个合法的登入页面。

  Raff指出,他在今年4月就发现该漏洞并提报给Google,当时Google表示会调查该漏洞,但随后一直未收到Google的回应,随着Pastor发表该概念性验证程式,他才决定揭露相关的资讯以期Google可尽速修补。
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章