10月11日国际报道,安全研究人员于本周一表示,Google已经修正了其网站上的一处安全缺陷,该缺陷为钓鱼式攻击、帐户挟持等攻击打开了大门。
据发现该缺陷的安全专家称,这一跨站点脚本缺陷存在于Google的AdWords 广告计划和客户培训网站上。黑客可以利用该缺陷挟持Google的帐户、发动钓鱼式攻击,甚至能够在用户的计算机上下载恶意代码。
钓鱼式攻击旨在诱惑用户透露用户名、密码、信用卡详细资料、社保号等机密信息。
安全专家于上个月底向Google通报了这一缺陷,Google在30个小时内就修正了该缺陷。安全专家莉摩尔说,Google的响应非常积极。 Google的证实说,它提前得到了警告,并修正了该缺陷。没有用户资料被泄露,我们对安全专家披露缺陷的方式表示赞同。
据安全专家称,该安全问题存在的原因是,Google网站上的表单没有对输入的数据进行验证和过滤,这使得黑客能够注入在用户计算机上运行的内容和代码。为了利用这一缺陷,黑客必须伪造一个Web链接,并诱惑用户点击它。
莉摩尔说,这一缺陷的危险之处就在于,黑客设计的链接与真正的Google链接非常想象。
跨站点脚本缺陷非常常见。今年早些时候,该安全专家在微软的Xbox 360 Web网站上发现了一个类似的缺陷。在早些时候,这位安全专家还发现了雅虎基于Web 的电子邮件服务中的缺陷。
这位安全专家开发了对网站进行扫描,发现其中缺陷的工具,它经常对流行的网站进行测试。莉摩尔指出,我们这样做的目的是鼓励厂商改进它们的产品。
在修正这一跨站点脚本缺陷后,Google Web网站被Finjan认为是安全的。莉摩尔说,我们发现,Google网站的其它部分不容易受到攻击,至少不存在跨站点脚本缺陷。我们将继续监测该网站。
