隱藏在分享按鈕中CSRF漏洞
責(zé)編:admin |2014-12-17 14:47:17埃及安全專家Mazen Gamal Mesbah在Blogger.com中發(fā)現(xiàn)了一個高危CSRF(跨站請求偽造)漏洞。 該漏洞可以使攻擊者在博主不知情的情況下撰寫和發(fā)布博客,同時可以把私密博客公開。Blogger是Google旗下的大型博客服務(wù)網(wǎng)站,也是全球第一家提供大規(guī)模博客服務(wù)的提供商,
Blogger的主頁上有一個按鈕,叫做Blogger Share(博客分享)按鈕,漏洞就是隱藏在這個按鈕中。點擊這個按鈕你就會發(fā)出一個跨站請求偽造(CSRF)請求。攻擊者可以很容易的利用該漏洞發(fā)起攻擊,因為他可以隨意的撰寫博客,至于撰寫的內(nèi)容也完全由他掌控。
安全研究人員提供了一個漏洞概念驗證視頻:
視頻源地址:https://www.youtube.com/watch?v=Wwv1S_JnEvU
目前谷歌的安全專家已經(jīng)修復(fù)這一漏洞。但還是建議博主們趕緊更新Blogger并時刻留意自己的博客內(nèi)容,以防被攻擊者用來散布不良言論。
- 信通院發(fā)布“2025智能體十大關(guān)鍵詞”
- 1Panel agent遠(yuǎn)程命令執(zhí)行漏洞 (CVE-2025-54424) 安全風(fēng)險通告
- 工信部等八部門印發(fā)《機(jī)械工業(yè)數(shù)字化轉(zhuǎn)型實施方案》
- 8月6日!ISC.AI 2025北京開幕,共迎智能新紀(jì)元!
- MH-Net:基于多視角異構(gòu)圖的加密流量分類方法
- 2025年度網(wǎng)絡(luò)空間安全領(lǐng)域十大科學(xué)挑戰(zhàn)問題發(fā)布
- 分析:Palo Alto收購CyberArk的利與弊
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運維!全新FortiAIOps 3.0重新定義IT運營