根据一篇刊登在GeekCondition.com的概念验证报告,Google网络电邮服务Gmail有一安全弱点,可能导致攻击者在帐户使用者不知情的状况下,设立邮件过滤器。
作者Brandon在文中写道,这个弱点已造成某些通过GoDaddy.com注册的人失去他们的网域名称。
Brandon解释这个弱点可能被利用的方式如下:
当你在个人的Gmail帐号设定过滤器时,你的要求会被送到Google的服务器处理。这项要求是以挟带许多变量的url(全球资源定位器)形式送出。基于安全因素,你的浏览器不会显示此url包含的所有变量。使用FireFox和外挂程序Live HTTP Headers,你就能看到从浏览器送至Google服务器的所有变量。
接下来,攻击者只需辨认出与使用者名称相同的那个变量。他写道:取得这个变量很难,但仍可办到。我不会告诉你怎么作,如果你在网络上努力搜索,你就会找到方法。
Brandon指出,所谓的“at”变量只要造访某个恶意网站即可取得。他建议Google让“at”变量每一次请求更换一次,而非间隔一段时间才更换。
他建议,要避免自己成为受害者,使用者应经常检查自己的过滤器。Firefox使用者可下载一项名为NoScript的延伸程序,防范这类攻击。
当然,任何以cookies验证请求的网站,都可能被同样的方式利用。要避免成为这种形式弱点的受害者,Gmail使用者要养成不使用时登出的习惯,且不要进入不信任的网站。
|