2013年11月24日 星期日

Google 帳戶救援功能的漏洞(含影片示範)

Google 帳戶救援功能的漏洞(含影片示範)

1.選擇一個測試用的Gmail,本案例中使用的是 hatechnion@gmail.com當作測試!

2.發送裡面內含客製化網址的釣魚郵件。

3.該連結實際上是連到攻擊者的網站,例如:http://www.orenh.com/test.html#Email=hatechnion@gmail.com

4.該客製化的電子郵件所內含的攻擊者網址一旦使用者點選就會觸發 CSRF 的攻擊手法。

5.將 OnError處理程序現在重新轉址到 XSS網址。

6.最後當使用者點選"重設密碼",接下來就完成整個詐騙程序了。

原作者網址說明:
http://www.orenh.com/2013/11/google-account-recovery-vulnerability.html


轉載自《網路攻防戰》