研究人员揭露Google Apps安全漏洞
Raff表示,Google Maps中一个小小的XSS问题就可能绕过浏览器的同源政策以劫持Google、Gmail或Google Apps的账号。
两名资安研究人员Aviv Raff及Adrian Pastor上周相继指出Google Apps含有安全设计上的漏洞。
Raff在Blog中指出,使用者可以透过许多的Google子网域存取Google的多种网络应用程序,包括Google Maps、Gmail、Google Images、Google News及Google.com等,主要问题在黑客可利用这些跨网域的网络应用程序共享的安全设计漏洞。
所谓的跨网域共享网络应用程序指的是在特定的网域下可以连结其它网络应用程序,例如可在Google Maps网域下使用Google News服务。
Raff表示,因此Google Maps中一个小小的XSS问题就可能绕过浏览器的同源政策(Same Origin Policy)以劫持Google、Gmail或Google Apps的账号。
而Pastor则公布了一个相关的概念性验证程序,可用以攻击Google Images中的页框注射(frame injection)漏洞,在Google Images中嵌入一个假的Gmail登入网页,然后使用跨网域的网络应用程序共享漏洞进一步让使用者相信这是一个合法的登入页面。
Raff指出,他在今年4月就发现该漏洞并提报给Google,当时Google表示会调查该漏洞,但随后一直未收到Google的响应,随着Pastor发表该概念性验证程序,他才决定揭露相关的信息以期Google可尽速修补。
两名资安研究人员Aviv Raff及Adrian Pastor上周相继指出Google Apps含有安全设计上的漏洞。
Raff在Blog中指出,使用者可以透过许多的Google子网域存取Google的多种网络应用程序,包括Google Maps、Gmail、Google Images、Google News及Google.com等,主要问题在黑客可利用这些跨网域的网络应用程序共享的安全设计漏洞。
所谓的跨网域共享网络应用程序指的是在特定的网域下可以连结其它网络应用程序,例如可在Google Maps网域下使用Google News服务。
Raff表示,因此Google Maps中一个小小的XSS问题就可能绕过浏览器的同源政策(Same Origin Policy)以劫持Google、Gmail或Google Apps的账号。
而Pastor则公布了一个相关的概念性验证程序,可用以攻击Google Images中的页框注射(frame injection)漏洞,在Google Images中嵌入一个假的Gmail登入网页,然后使用跨网域的网络应用程序共享漏洞进一步让使用者相信这是一个合法的登入页面。
Raff指出,他在今年4月就发现该漏洞并提报给Google,当时Google表示会调查该漏洞,但随后一直未收到Google的响应,随着Pastor发表该概念性验证程序,他才决定揭露相关的信息以期Google可尽速修补。
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 如何编写易于单元测试的代码
· 10年+ .NET Coder 心语,封装的思维:从隐藏、稳定开始理解其本质意义
· .NET Core 中如何实现缓存的预热?
· 从 HTTP 原因短语缺失研究 HTTP/2 和 HTTP/3 的设计差异
· AI与.NET技术实操系列:向量存储与相似性搜索在 .NET 中的实现
· 周边上新:园子的第一款马克杯温暖上架
· Open-Sora 2.0 重磅开源!
· 分享 3 个 .NET 开源的文件压缩处理库,助力快速实现文件压缩解压功能!
· Ollama——大语言模型本地部署的极速利器
· DeepSeek如何颠覆传统软件测试?测试工程师会被淘汰吗?