IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

看不到的网站安全之谷歌电子表单CSRF+JSON劫持漏洞

发布时间:2016-11-11 13:51文章来源:互联网文章作者: 佚名点击次数:
在2015年10月,我在在谷歌电子表单有关的API接口中发现了JSON + CSRF(跨站伪造请求)点击劫持漏洞。攻击者可以利用这个漏洞在未授权访问Google Drive文件的情况下,获取用户的电子表单信息。 漏洞影响 在网络上利用这个漏洞攻击的时候,攻击者需要绕过Google

在2015年10月,我在在谷歌电子表单有关的API接口中发现了JSON + CSRF(跨站伪造请求)点击劫持漏洞。攻击者可以利用这个漏洞在未授权访问Google Drive文件的情况下,获取用户的电子表单信息。

漏洞影响

在网络上利用这个漏洞攻击的时候,攻击者需要绕过Google Drive电子表单共享设置的ACL策略。首先说明下,攻击者在未授权访问Google Drive文件的情况下(如下图所示),可以利用该漏洞绕过Google安全设置:

漏洞产生的根本原因

这不是第一个Google存在JSON数据劫持,从而导致用户数据泄漏的漏洞。

漏洞的根源是Google Drive API接口的数据流设计,由此造成OWASP TOP(2013)-A8-Cross-site Request Forgery(CSRF)漏洞从而导致JSON数据劫持。

漏洞的攻击并不难,曾经的Google Gmail就存在CSRF+JSON劫持漏洞。

2016.01.27 -- 对Gmail攻击的高级技巧

2008.11.20 -- JSON攻击的风骚姿势

2010.10.14 -- Gmail的JSON劫持攻击技术

JSON劫持攻击,谷歌是这样修复的:在JSON里面添加一个while()循环,如果攻击发生就会使受害者的浏览器崩溃,从而导致攻击失效。

但是,对于Google Drive的JSON劫持漏洞来说,仅仅添加一个循环是远远不够的。为了不影响Google Drive的产品功能,必要的修复需要复杂的变更。

Google选择了让旧API 接口下线,使用新的接口来解决安全问题。这需要使用这些接口的开发者更新代码。

漏洞攻击场景(众多利用中的一个)

公司的一个电子表格里面有机密信息。

电子表格只共享给授权的公司职员。

一名职员离职之后,他的授权帐号被取消,同时被分享的文件里面密码/PIN也改变。

新的共享如下图所示,可以看到离职的员工权限已经被取消。

原力与你同在

现在被取消授权的员工非常想要获得电子表单的数据,他知道[email protected]欢经常去一个网站,而这个网站允许任何人使用HTML格式留言。这就是众所周知的水坑攻击,攻击者只需要等待。

下图是受害者访问的网站截屏

在完全不知道受害者(不管是谁是文档的拥有者)的情况下,攻击者就可以收到电子表格的数据。

下图是攻击者偷取到的数据(受害者完全看不到)

攻击者看到的数据如下:


看不到的网站安全之谷歌电子表单CSRF+JSON劫持漏洞
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/netsafe/Website/551007.html

标签分类:

上一篇:上一篇:百度云网盘你会用吗?在百度云网盘中添加好友的步骤
下一篇: 下一篇:没有了
无觅关联推荐,快速提升流量