Google Urchin 被發現 XSS 安全漏洞
2007 年 09 月 26 日 – 16:44:00
GnuCitizen 的 Adrian Pastor 發現 Google Urchin 存在一個 XSS 安全漏洞,使得攻擊者根本不需要登入帳號和密碼,即可登入Urchin 的管理網頁。此一安全漏洞可以被利用於釣魚網站攻擊上。
受影響軟體:
- Urchine 版本為 5.6.00r2、5.7.01、5.7.02、5.7.03 (之前的版本也有可能有此漏洞)。
驗證程式碼:
其他的驗證程式碼和展示影片,請參考下列的網址:http://www.gnucitizen.org/blog/google-urchin-password-theft-madnesshttp://www.youtube.com/v/wCUovL9WLVQ 另外,RSnake 在他的部落格中,也利用一個網站展示此漏洞 (如下圖):
