微慑信息网

谷歌 PHP API客户端存有XSS漏洞,可使黑客开展网络钓鱼攻击

据外媒 12 日报道,安全公司 DefenseCode 研究人员发现谷歌 PHP API 客户端存在两个 XSS 漏洞,可能导致用户遭受网络钓鱼攻击。

XSS(跨站脚本攻击):攻击者在 Web 页面插入恶意 Script 代码,致使用户浏览页面时自动执行代码,从而达到恶意攻击用户的目的。

调查显示,XSS 漏洞存在于 $_SERVER[‘PHP_SELF’] 函数之中,允许攻击者发送网络钓鱼邮件。倘若用户接收邮件并 “点击链接 ” ,那么攻击者即可假冒目标用户肆意发送恶意 JavaScript 并拥有无限访问网站权限。

目前,谷歌表示该库仅是 “ 测试版本 ” ,而关于如何使用 API 与 OAuth2 协议将谷歌数据应用于其他项目的可信 Stackoverflow 论坛与教程已在线公布很长时间。所以,用户不必太过担心,谷歌承诺尽快修复补丁,以保证用户系统的安全。

原作者:Richard Chirgwin,译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文链接

 

from hackernews.cc.thanks for it.

本文标题:谷歌 PHP API客户端存有XSS漏洞,可使黑客开展网络钓鱼攻击
English Title:Google PHP API client has XSS vulnerabilities, can enable hackers to carry out phishing attacks
本文链接:
(转载请附上本文链接)
http://vulsee.com/archives/vulsee_2017/0515_2151.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 谷歌 PHP API客户端存有XSS漏洞,可使黑客开展网络钓鱼攻击
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

微慑信息网 专注工匠精神

访问我们联系我们