[组图]在Google服务器建立钓鱼站点?你可以!一位名叫Eric Farraro的软件开发者近日在其blog上公布了他发现的在一个罕为人知的被称为Public Service Search(公共服务搜索)的Google服务中存在的安全隐患,这一隐患可以使得欺骗者用Google的域名设置网络钓鱼站点。
公共服务搜索(已被临时禁用)是一项免费服务,它使得教育机构与非盈利组织可以提供仅针对它们所在域名的Google站点搜索。这一安全隐患的关键在于,Google允许用户对其搜索结果页面进行定制,允许定制的内容包括徽标、联系方式信息以及搜索结果页面页眉、页脚区域的其他格式。注意,其中页眉和页脚的代码是被放在Google服务器上的。Ferraro利用这一特征建立了一个假冒的可以获取用户帐号等机密信息的Google登陆页面,你可以在这里看到该页面: http://www.google.com/u/gplus
Farraro称,他是在应别人要求将Google搜索功能加到一个页面上时发现这一站点的。在默认的行为下人们经常遇到的一个问题是:你可以随心所欲定制一开始的搜索框,但是出现在结果页面上的搜索框却是无法改变的。Farraro在好奇心的驱使下希望找到能解决这一问题的方法,他尝试使用了一个简单的java-script警告。果然,当他"预览"这一页面时,脚本被执行了……
Farraro开始使用java-script修改DOM,这使得结果页面上的搜索框被修改。Farraro知道,读取页面时首先提交的是页眉,然后是Google的搜索结果,最后才是页脚。他决定将Google搜索结果放入DIV标签内并在底端结束该DIV标签。在这之后,他又在页脚利用了java-script的"document.getElementById(divID).innerHTML"特性完全隐藏了所有Google搜索结果,这时他已建立了一个在Google.com主机上的空白页面。
| 利用php.exe进行入侵 | 04-08 | |
| 渗透心得 | 04-07 | |
| 魔力论坛最新漏洞利用 | 04-07 | |
| 织梦内容管理系统(DEDECMS)3.X | 04-07 | |
| asp.dll解析成system提升权限 | 04-06 | |
| webshell+serv-u获取系统最高权限 | 04-06 | |
| 一次完全利用社会工程学的域名劫 | 03-28 | |
| 利用DNS欺骗在局域网中挂马 | 03-21 | |
| 渗透某资源网站笔记 | 03-20 | |
| 渗透同学学校网络 | 03-20 | |
| 针对虚拟主机提升权限的实现 | 03-20 | |
| 利用QQ文件共享漏洞入侵 Windows | 03-20 | |
您现在的位置: