谷歌 PHP API客户端存有XSS漏洞，可使黑客开展网络钓鱼攻击

据外媒 12 日报道，安全公司 DefenseCode 研究人员发现谷歌 PHP API 客户端存在两个 XSS 漏洞，可能导致用户遭受网络钓鱼攻击。

XSS（跨站脚本攻击）：攻击者在 Web 页面插入恶意 Script 代码，致使用户浏览页面时自动执行代码，从而达到恶意攻击用户的目的。

调查显示，XSS 漏洞存在于 $_SERVER[‘PHP_SELF’] 函数之中，允许攻击者发送网络钓鱼邮件。倘若用户接收邮件并 “点击链接 ” ，那么攻击者即可假冒目标用户肆意发送恶意 JavaScript 并拥有无限访问网站权限。

目前，谷歌表示该库仅是 “ 测试版本 ” ，而关于如何使用 API 与 OAuth2 协议将谷歌数据应用于其他项目的可信 Stackoverflow 论坛与教程已在线公布很长时间。所以，用户不必太过担心，谷歌承诺尽快修复补丁，以保证用户系统的安全。

原作者：Richard Chirgwin，译者：青楚
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文链接

from hackernews.cc.thanks for it.