Gmail爆重置任意账户密码漏洞
日前,国外安全研究员Oren Hafif发现了一个谷歌Gmail账户的严重漏洞,利用该漏洞可以重置任意用户的密码。Oren表示该问题由于Gmail存在xss和csrf漏洞,当攻击者发送一封标题为“确认账户所有权”的钓鱼邮件,要求收件人确认账户的所有权,并要求用户更改密码。在这封伪造的电子邮件中指向一个http的google.com地址,利用CSRF漏洞定制电子邮件,会直接控制受害者的账户。
钓鱼邮件中里面的链接如下:
http://www.orenh.com/test.html#Email=hatechnion@gmail.com
但是事实上它执行了另外一段代码:
上面的代码中,读取一个hash的参数Email,创建了一个image标签链接到初始化密码恢复链接,请求之后会抛出一个异常(因为这不是一个真正的图像)
在Google的http页面上会要求用户确认所有权并输入密码,并重新设置自己的密码。
通过onError重新向到存在XSS漏洞的页面,OK,获取用户的密码。
具体:http://www.freebuf.com/news/18450.html
Re: Gmail爆重置任意账户密码漏洞
感谢分享这个重要的安全资讯。Gmail作为广泛使用的邮箱服务,如果确实存在这样的漏洞,影响面会很大。不知道谷歌方面是否已经确认并修复了这个问题?大家平时也要提高警惕,不要轻易点击来历不明的邮件链接,尤其是要求确认账户或修改密码的请求。Re: Gmail爆重置任意账户密码漏洞
这个漏洞听起来确实很严重,利用XSS和CSRF组合来劫持密码重置流程,普通用户很难分辨钓鱼邮件中的伪造链接。感谢分享,大家最近收邮件时一定要多留意发件地址和链接域名,特别是涉及账户确认或密码修改的请求。希望谷歌能尽快修复。Re: Gmail爆重置任意账户密码漏洞
这个漏洞听起来确实很严重,利用CSRF和XSS组合攻击来重置密码,恶意邮件伪装成官方认证流程,普通用户很难分辨。多亏安全研究员及时公开,应该能推动谷歌尽快修复。大家最近收到要求确认账户所有权的邮件最好直接登录谷歌官网查看,别点链接里的地址。
页:
[1]