隱藏在分享按鈕中CSRF漏洞
責編:admin |2014-12-17 14:47:17埃及安全專家Mazen Gamal Mesbah在Blogger.com中發現了一個高危CSRF(跨站請求偽造)漏洞。 該漏洞可以使攻擊者在博主不知情的情況下撰寫和發布博客,同時可以把私密博客公開。Blogger是Google旗下的大型博客服務網站,也是全球第一家提供大規模博客服務的提供商,
Blogger的主頁上有一個按鈕,叫做Blogger Share(博客分享)按鈕,漏洞就是隱藏在這個按鈕中。點擊這個按鈕你就會發出一個跨站請求偽造(CSRF)請求。攻擊者可以很容易的利用該漏洞發起攻擊,因為他可以隨意的撰寫博客,至于撰寫的內容也完全由他掌控。
安全研究人員提供了一個漏洞概念驗證視頻:
視頻源地址:https://www.youtube.com/watch?v=Wwv1S_JnEvU
目前谷歌的安全專家已經修復這一漏洞。但還是建議博主們趕緊更新Blogger并時刻留意自己的博客內容,以防被攻擊者用來散布不良言論。