查看: 10644|回复: 0

Gmail爆重置任意账户密码漏洞

[复制链接]

该用户从未签到

发表于 2013-11-26 22:49:28 | 显示全部楼层 |阅读模式
日前,国外安全研究员Oren Hafif发现了一个谷歌Gmail账户的严重漏洞,利用该漏洞可以重置任意用户的密码。

Oren表示该问题由于Gmail存在xss和csrf漏洞,当攻击者发送一封标题为“确认账户所有权”的钓鱼邮件,要求收件人确认账户的所有权,并要求用户更改密码。在这封伪造的电子邮件中指向一个http的google.com地址,利用CSRF漏洞定制电子邮件,会直接控制受害者的账户。

钓鱼邮件中里面的链接如下:

http://www.orenh.com/test.html#Email=hatechnion@gmail.com

但是事实上它执行了另外一段代码:

13853922672418.png!small.jpeg

上面的代码中,读取一个hash的参数Email,创建了一个image标签链接到初始化密码恢复链接,请求之后会抛出一个异常(因为这不是一个真正的图像)

在Google的http页面上会要求用户确认所有权并输入密码,并重新设置自己的密码。

13853923899145.png!small.jpeg

13853923918677.png!small.jpeg

13853923931965.png

通过onError重新向到存在XSS漏洞的页面,OK,获取用户的密码。

13853924611866.png!small.jpeg

具体:http://www.freebuf.com/news/18450.html
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

旗下站点

邮箱系统

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

GMT+8, 2024-12-18 21:51 , Processed in 0.028202 second(s), 16 queries , Gzip On, MemCache On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部