微慑信息网

谷歌 PHP API客户端存有XSS漏洞,可使黑客开展网络钓鱼攻击

据外媒 12 日报道,安全公司 DefenseCode 研究人员发现谷歌 PHP API 客户端存在两个 XSS 漏洞,可能导致用户遭受网络钓鱼攻击。

XSS(跨站脚本攻击):攻击者在 Web 页面插入恶意 Script 代码,致使用户浏览页面时自动执行代码,从而达到恶意攻击用户的目的。

调查显示,XSS 漏洞存在于 $_SERVER[‘PHP_SELF’] 函数之中,允许攻击者发送网络钓鱼邮件。倘若用户接收邮件并 “点击链接 ” ,那么攻击者即可假冒目标用户肆意发送恶意 JavaScript 并拥有无限访问网站权限。

目前,谷歌表示该库仅是 “ 测试版本 ” ,而关于如何使用 API 与 OAuth2 协议将谷歌数据应用于其他项目的可信 Stackoverflow 论坛与教程已在线公布很长时间。所以,用户不必太过担心,谷歌承诺尽快修复补丁,以保证用户系统的安全。

原作者:Richard Chirgwin,译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文链接

 

from hackernews.cc.thanks for it.

赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 谷歌 PHP API客户端存有XSS漏洞,可使黑客开展网络钓鱼攻击

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册