亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

谷歌近日修復(fù)了一個點(diǎn)擊劫持漏洞，攻擊者可利用該漏洞恢復(fù)或者刪除Gmail對話、刪除YouTube播放列表、掌控Google+賬戶等等。

百科：點(diǎn)擊劫持

這個詞首次出現(xiàn)在2008年，是由互聯(lián)網(wǎng)安全專家羅伯特·漢森和耶利米·格勞斯曼首創(chuàng)。簡單來說：當(dāng)你打開一個網(wǎng)頁出現(xiàn)一個flash廣告框，點(diǎn)擊“關(guān)閉”按鈕，可結(jié)果廣告并沒有關(guān)閉，卻變成了全屏，這樣的情況在計算機(jī)安全領(lǐng)域叫做點(diǎn)擊劫持。

漏洞報告

攻擊者會創(chuàng)建一個按鈕，然后欺騙受害者點(diǎn)擊該按鈕，一旦受害者點(diǎn)擊了該按鈕，攻擊者會在幕后操縱一系列的惡意操作。

攻擊者可利用該漏洞進(jìn)行的操作是：

1.刪除你YouTube的全部播放列表

2.刪除你的博客／發(fā)布的信息／評論

3.刪除郵件會話進(jìn)程，恢復(fù)郵件／附件

4.得到你Google＋中的活動信息和好友列表

5.基本上可以完成Google API所能完成的所有事情（developers.google.com）

在下面的例子中Yibelo向大家演示了如何利用點(diǎn)擊劫持漏洞刪除YouTube播放列表，以下是一些前提條件：

1.受害者之前授權(quán)過Google的應(yīng)用程序編程接口(API)，并且仍然允許其運(yùn)行。(這樣便可以輕而易舉地對它進(jìn)行操控)

2.受害者訪問我們的惡意網(wǎng)站.(點(diǎn)擊劫持就發(fā)生在這里)

3.受害者的播放列表ID。(可以公開獲取)

當(dāng)受害者點(diǎn)擊執(zhí)行之后，類似下面的鏈接就會刪除播放列表的ID PLFJifqT2CnZUvX3VRu66wqCNq8WLzlfE1（developers.google.com域是可以劫持的）。

https://developers.google.com/apis-explorer/#search/youtube/m/youtube/v3/youtube.playlists.delete?id=PLFJifqT2CnZUvX3VRu66wqCNq8WLzlfE1&_h=1

攻擊者會對域名進(jìn)行最基本的設(shè)計，然后在頁面上放一個明顯的按鈕，例如類似于“點(diǎn)這贏取免費(fèi)的iphone”等按鈕。然后，一旦受害者點(diǎn)擊了它…Duang！播放列表就消失了！

同樣的方法可以實(shí)施其他的惡意操作。

結(jié)論

谷歌于4月21日給予Paulos Yibelo 1337美元的獎金。

大家普遍認(rèn)為UI修正/點(diǎn)擊劫持是一低危的漏洞，防護(hù)措施也非常容易，盡管如此還是有很多應(yīng)用程序是被這種漏洞攻破的。不過一次輕而易舉的點(diǎn)擊就可使谷歌賬號被完全劫持，而簡單的X－Frame－Options就可解決這一問題。