Google Gmail 被發現 CSRF 安全漏洞
2007 年 09 月 26 日 – 20:46:00
GnuCitizen 的 pdp 宣稱發現 Google Gmail 存在一個 CSRF 安全漏洞,使得攻擊者可以製作任意的惡意網頁,當使用者瀏覽那些網頁時,可以將某些規則寫入 Gmail 的篩選器中 (當然,那時你已經登入 Gmail),以綁架 (監控) 使用者的電子郵件。
不過,此作者並未將驗證程式碼公佈,因為 Google 尚未修復此漏洞。下圖是展示將 Gmail 的篩選器中加入一個條件『將擁有附件的電子郵件轉寄志某個電子郵件信箱』:
至於詳細的資訊,請參考作者網站:
http://www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/
另外,另一個網友也在他的部落格中,展示利用 Google 的某些安全漏洞 (作者有提供驗證程式碼),成功地達到某些目的,有興趣的人,請參考下面連結:
http://blog.beford.org/?p=3 (注意:此部落格中的展示連結,請勿在 Gmail 開啟的狀況下執行,否則,你的電子郵件會被轉寄到作者的電子郵件信箱。如要測試,最好在虛擬環境下,自行建立一個新的 Gmail 帳戶)
“Google Gmail 被發現 CSRF 安全漏洞” 目前有 5 迴響
最好提醒一下大家, beford 裡面的 link 不要亂點. 尤其在 gmail 沒登出的情況下.
By tt on 2007 年 09 月 27 日 - 06:43:00
謝謝提醒。
By Roger on 2007 年 09 月 27 日 - 07:03:00
不好意思,想請教一下,
beford是指?
By 賢 on 2007 年 09 月 27 日 - 10:46:00
是指這個連結:http://blog.beford.org/?p=3
By Roger on 2007 年 09 月 27 日 - 23:36:00
該blog說gmail已修復此漏洞, 且我有裝netcraft toolbar for Firefox, 當連到該blog內的示範網址時會說這是phishing site及使用XSS(Cross-site scripting)而擋下.
By elllery on 2007 年 10 月 3 日 - 21:18:00