一位名叫Eric Farraro的软件开发者近日在其blog上公布了他发现的在一个罕为人知的被称为Public Service Search(公共服务搜索)的Google服务中存在的安全隐患,这一隐患可以使得欺骗者用Google的域名设置网络钓鱼站点。
公共服务搜索(已被临时禁用)是一项免费服务,它使得教育机构与非盈利组织可以提供仅针对它们所在域名的Google站点搜索。这一安全隐患的关键在于,Google允许用户对其搜索结果页面进行定制,允许定制的内容包括徽标、联系方式信息以及搜索结果页面页眉、页脚区域的其他格式。注意,其中页眉和页脚的代码是被放在Google服务器上的。Ferraro利用这一特征建立了一个假冒的可以获取用户帐号等机密信息的Google登陆页面,你可以在这里看到该页面: http://www.google.com/u/gplus
(注:该页面现已被Google禁用)
(图1)
Farraro称,他是在应别人要求将Google搜索功能加到一个页面上时发现这一站点的。在默认的行为下人们经常遇到的一个问题是:你可以随心所欲定制一开始的搜索框,但是出现在结果页面上的搜索框却是无法改变的。Farraro在好奇心的驱使下希望找到能解决这一问题的方法,他尝试使用了一个简单的java-script警告。果然,当他"预览"这一页面时,脚本被执行了……
(图2)
Farraro开始使用java-script修改DOM,这使得结果页面上的搜索框被修改。Farraro知道,读取页面时首先提交的是页眉,然后是Google的搜索结果,最后才是页脚。他决定将Google搜索结果放入DIV标签内并在底端结束该DIV标签。在这之后,他又在页脚利用了java-script的"document.getElementById(divID).innerHTML"特性完全隐藏了所有Google搜索结果,这时他已建立了一个在Google.com主机上的空白页面。
也许这一页面对Farraro很不平常但是它却不会引起任何其他人的注意,毕竟仅执行了一个java-script脚本不能说明什么问题。Farraro决定继续试验,他建立了一个新的"Google服务",这一新的"服务"几乎完全与Gmail相同,但是提供了一些新的特征。在页脚的java-script中,Farraro添加了所有生成一个他所选择的全新页面所需要的HTML代码。他选择了一个更改过的Google主页。对于登陆表单,他将用户的输入导向自己的服务器,页面上有告诉用户已被"欺骗"的警告。Farraro说他保证他并没有真的偷窃用户信息——他只是将用户刚输入的用户名和密码显示了出来。
(图3)
类似的"钓鱼"站点可以在任何URL被建立。使得这种类型的漏洞利用如此隐蔽的原因是大多数人将认为这种网址是安全的:http://www.google.com/u/gplus。尽管Google在过去受到过类似的攻击,它们中的大多数都具有可疑的URL,至少对于高级用户是这样。但是该钓鱼站点是位于Google服务器上的并具有大多数用户都将信任的google.com域名,这也正是这一安全隐患的危险所在。这种服务的URL通常具有这样的形式:http://www.google.com/u/something,其中的"/something"可以是你所希望的任何字符串和数字。
(图4)
Farraro已将该安全隐患告知Google,后者很快便撤下了Google公共服务站点的登录入口(https://services.google.com/publicservice/login)。我们可以想象得出Google正在进行一些将禁用或限制java-script脚本执行的修复工作,随后将有更多的信息,也许还会有来自Google的一些评论。Google将如何解决这一问题?让我们拭目以待。
(完)
(t116)
=================================
原文连接:http://weblog.infoworld.com/techwatch/archives/007913.html
http://ericfarraro.com/
原文作者:Paul Roberts; Eric Farraro
