| |
GoogleSpreadsheet被证实存在安全隐患 |
|
2008年04月16日 12:08 驱动之家
|
安全研究人员Bill Rios报告,通过使用跨站点脚本XSS攻击Google Spreadsheet,将可以暴露用户所有的Google服务。一旦攻击者获得任何一个xxx.google.com的访问权限,他们将有机会获得用户其他的Google服务,例如Gmail、Docs等等。
目前Google的一个代表已经证实了该漏洞,"Google对于用户资料十分重视,我们将迅速行动,以解决此问题,目前还没有接到任何该漏洞被人利用的报告"
在Bill Rios的博客中,他创建了一个Spreadsheet,并且放置了一个警告脚本(document.cookie)。当用户点击下载或保存,内容会被保存为一个逗号分隔的值或者CSV文件。当受害者被诱骗打开这个CSV格式的连接,警告对话框会弹出并攻击受害者,获取当前用户的Google信息,该用户所使用的Google Gmail、Docs的Cookie均会被窃取。
Bill Rios以此警示用户应注意互联网安全,据他发现,不仅使用IE浏览器会导致这样的问题,Firefox,Safari,Opera均存可触发类似问题。
|
|
【推荐】【打印】【大 中 小】【关闭窗口】
|
|
|
|
 |
| 推荐:图片搜索 |
|
