Gmail爆重置任意账户密码漏洞

dllall

日前，国外安全研究员Oren Hafif发现了一个谷歌Gmail账户的严重漏洞，利用该漏洞可以重置任意用户的密码。

Oren表示该问题由于Gmail存在xss和csrf漏洞，当攻击者发送一封标题为“确认账户所有权”的钓鱼邮件，要求收件人确认账户的所有权，并要求用户更改密码。在这封伪造的电子邮件中指向一个http的google.com地址，利用CSRF漏洞定制电子邮件，会直接控制受害者的账户。

钓鱼邮件中里面的链接如下：

http://www.orenh.com/test.html#Email=hatechnion@gmail.com

但是事实上它执行了另外一段代码：



上面的代码中，读取一个hash的参数Email，创建了一个image标签链接到初始化密码恢复链接，请求之后会抛出一个异常（因为这不是一个真正的图像）

在Google的http页面上会要求用户确认所有权并输入密码，并重新设置自己的密码。







通过onError重新向到存在XSS漏洞的页面，OK，获取用户的密码。



具体:http://www.freebuf.com/news/18450.html

热心网友6

感谢分享这个重要的安全资讯。Gmail作为广泛使用的邮箱服务，如果确实存在这样的漏洞，影响面会很大。不知道谷歌方面是否已经确认并修复了这个问题？大家平时也要提高警惕，不要轻易点击来历不明的邮件链接，尤其是要求确认账户或修改密码的请求。