谷歌 PHP API客户端存有XSS漏洞,可使黑客开展 *** 钓鱼攻击
据外媒 12 日报道,安全公司 DefenseCode 研究人员发现谷歌 PHP API 客户端存在两个 XSS 漏洞,可能导致用户遭受 *** 钓鱼攻击。
XSS(跨站脚本攻击):攻击者在 Web 页面插入恶意 Script 代码,致使用户浏览页面时自动执行代码,从而达到恶意攻击用户的目的。
调查显示,XSS 漏洞存在于 $_SERVER[‘PHP_SELF’] 函数之中,允许攻击者发送 *** 钓鱼邮件。倘若用户接收邮件并 “点击链接 ” ,那么攻击者即可假冒目标用户肆意发送恶意 JavaScript 并拥有无限访问网站权限。
目前,谷歌表示该库仅是 “ 测试版本 ” ,而关于如何使用 API 与 OAuth2 协议将谷歌数据应用于其他项目的可信 Stackoverflow 论坛与教程已在线公布很长时间。所以,用户不必太过担心,谷歌承诺尽快修复补丁,以保证用户系统的安全。
原作者:Richard Chirgwin,译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于 *** ;
转载请注明“转自 HackerNews.cc ” 并附上原文链接
“谷歌 PHP API客户端存有XSS漏洞,可使黑客开展 *** 钓鱼攻击” 的相关文章
黑客演示入侵电影制片人 Mac 计算机 证明 macOS 无法主动抵御网络威胁
近日,两位安全研究人员成功入侵了亿万富翁兼电影制片人 Jeffrey Katzenberg 的 Mac 计算机,意味着 macOS 设备并不能自动抵御网络威胁。虽然没有提到特定的 macOS 设备型号,深谙社会工程的 SocialProof Security 首席执行官 Rachel Tobac 还...
TerraMaster 操作系统漏洞可能使 NAS 设备遭到远程黑客攻击
Hackernews 编译,转载请注明出处: 研究人员披露了 TerraMaster NAS设备的关键安全漏洞的细节,这些设备可以链接到未经身份验证的远程代码执行,且具有最高权限。 埃塞俄比亚网络安全研究公司 Octagon Networks 的 Paulos yibello 在分...
攻击者部署后门,窃取 Exchange 电子邮件
网络安全研究人员将该 APT 组织追踪为 UNC3524,并强调在某些情况下,该组织可以对受害者环境进行超过 18 个月的访问,展示了其 “先进 “的隐匿能力。 在每一个 UNC3524 受害者环境中,攻击者都会针对一个子集的邮箱,集中其注意力在执行团队和从事企业发展、兼并和收购的员工或 IT 安...
2021 年物联网设备 CVE 天梯榜
2021年CVE回顾: 时间飞逝,转眼间来到了2022年。新的一年即将开始,让我们来回顾一下2021年的物联网设备CVE情况。 2021年CVSSV3平均值为5.5,2020年CVSSV3平均值为6.1,同比去年下降0.6。 通过平均值的对比,我们可以清楚的看到各大厂商在2021年对物联网安全的重视...
Colonial Pipeline 攻击事件初步调查结果:未及时修复 Exchange 漏洞
援引《纽约时报》记者 Nicole Perlroth 报道,成品油管道公司 Colonial Pipeline 的初期调查结果标明,该公司 IT 基础设施内“最可能的罪魁祸首”就是尚未修复的微软 Exchange 服务。虽然还有其他几个问题,但是研究人员将其描述为“缺乏网络安全的复杂性”。 Nico...
美警署文件服务器发生数据泄露 黑客威胁不交付赎金就曝光线人信息
近日,Babuk Locker 勒索软件团伙在网站上曝光了哥伦比亚大都会警察局的内部服务器文件,威胁如何不支付赎金,就释出警方调查和线人的相关信息。华盛顿特区警察局公共发言人 Sean Hickman 在致外媒 The Record 的一封电子邮件中称,其已知晓内部文件服务器上发生了未经授权的访问。...
评论列表
发表评论
