Google修正跨站点脚本缺陷

今天是 2008年12月2日星期二

电子商务直通车 --> 文章分类 --> 搜索引擎研究 --> 搜索新闻 --> Google --> Google修正跨站点脚本缺陷
Google修正跨站点脚本缺陷电子商务直通车发表时间：2005年12月27日信息来源：黑客基地
美国当地时间本周三，安全研究人员表示，Google已经修正了一个可能使用户受到钓鱼式攻击、帐户挟持以及其它形式攻击的缺陷。　　据发现该问题的互联网安全厂商Watchfire 称，这一跨站点脚本缺陷存在的原因是，Google没有恰当地保证二种错误页面的安全。　　Watchfire 的安全研究主任Ory Segal 称，攻击者可以利用该缺陷发动钓鱼式攻击或窃取用户的数字证书。　　他说，在研究Google的网站时，我们发现它在Web 应用软件的安全性方面做得很好，但它可能忽略了这一不太常见的跨站点脚本缺陷。　　Google证实不久前它修正了该缺陷。该公司的代表在一份电子邮件声明中说，没有用户资料泄露出去，我们对Watchfire 遵守业界的缺陷披露规则表示赞赏。　　据Watchfire 称，这一问题存在于Google用来生成禁止重定向和访问Google网站上不存在页的错误页面的机制中。黑客可以使用UTF-7 来利用这一缺陷。　　Segal 表示，在攻击中，用户需要点击一个恶意链接，或访问一个经过特别设计的恶意网页。然后就会在浏览器中看到Google错误网页，并同时接收到在恶意链接中嵌入的恶意javascript代码。由于这些代码来自Google，因此它能够访问Google cookies等数据。　　据Watchfire 称，Google是在11月15日得知这一缺陷的，并在12月1 日修正了该缺陷。Watchfire 在其公告中对Google在这一问题上的合作和沟通表示了赞扬。　　跨站点脚本缺陷相当常见。今年早些时候，Finjan在Google和微软的Xbox 360网站上发现了类似的缺陷。雅虎基于Web 的电子邮件服务中也被发现存在这样的缺陷。　　今年早些时候，Google的电子邮件服务中被发现存在一个安全缺陷，它使得黑客能够挟持用户的电子邮箱。
大部分文章摘自网上，如有侵犯您的权益请来信告知，我们会第一时间进行处理，谢谢!	[ 打印文章 ] [ 关闭窗口 ]