我知道你可能无法理解这篇文章的标题,但对我来说这确实意味着某些东西。因为这个漏洞的存在,我便可以迫使你做以下的几件事情。
-删除你YouTube的全部播放列表
-删除你的博客/发布的信息/评论
-删除邮件会话线程,恢复邮件/附件
-得到你Google+中的活动信息和好友列表
-基本上可以完成Google API所能完成的所有事情
在这个例子中,我将会尝试向大家演示这个点击劫持漏洞是怎样删除你的YouTube播放列表的。 以下是一些前提条件:
1、受害者之前授权过Google的应用程序编程接口(API),并且仍然允许其运行。(可以轻而易举地对它进行操控)
2、受害者访问我们的恶意网站.(点击劫持就发生在这里)
3、受害者的播放列表ID。(可以公开获取)
然后基本上就是这样了。当受害者点击执行之后,一个类似于
的链接将会删除播放列表的ID PLFJifqT2CnZUvX3VRu66wqCNq8WLzlfE1。(对我们来说幸运的是,developers.google.com域是可以劫持的)
我们会对域名进行最基本的设计,然后在页面上放一个明显的,可以点击的按钮去执行攻击,例如类似于“点击这里来赢取免费的iphone”等按钮。然后,当受害者点击了它…Boom!播放列表就消失了!
我们可以使用同样的方法来制作一个功能与Google API类似的(基本上是一模一样的)用于Gmail和Google+的恶意插件。
结论
UI 修正/点击劫持 是一个广泛被大家低估的攻击方法。尽管缓解这种攻击所带来的危害是很容易的,但是我们仍然可以看到大量的应用程序沦陷了。我希望这个漏洞能够让大家了解一次鼠标的点击可以导致你的整个Google账号被完全地挟持,但一个简单的X-Frame-Options却可以拯救你。
在此,我想要感谢Google公司的安全部门和VRP计划。:)
报告时间
4月12日,上午6点04分-原始报告
4月21日,上午6点34分-发送了更多详细的说明
4月21日,上午7点07分-漏洞分类
4月21日,下午2点48分-得到了1337美金的漏洞修复奖励
(责任编辑:安博涛)
