据外媒 12 日报道,安全公司 DefenseCode 研究人员发现谷歌 PHP API 客户端存在两个 XSS 漏洞,可能导致用户遭受 *** 钓鱼攻击。
XSS(跨站脚本攻击):攻击者在 Web 页面插入恶意 Script 代码,致使用户浏览页面时自动执行代码,从而达到恶意攻击用户的目的。
调查显示,XSS 漏洞存在于 $_SERVER[‘PHP_SELF’] 函数之中,允许攻击者发送 *** 钓鱼邮件。倘若用户接收邮件并 “点击链接 ” ,那么攻击者即可假冒目标用户肆意发送恶意 JavaScript 并拥有无限访问网站权限。
目前,谷歌表示该库仅是 “ 测试版本 ” ,而关于如何使用 API 与 OAuth2 协议将谷歌数据应用于其他项目的可信 Stackoverflow 论坛与教程已在线公布很长时间。所以,用户不必太过担心,谷歌承诺尽快修复补丁,以保证用户系统的安全。
原作者:Richard Chirgwin,译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于 *** ;
转载请注明“转自 HackerNews.cc ” 并附上原文链接
加拿大多伦多大学下属“公民实验室”(Citizen Lab)的研究人员当地时间周一发文称,该实验室的核心任务是对民间社会的数字威胁进行研究。在调查雇佣军间谍软件的过程中,他们偶尔会观察到一些案例,怀疑政府正在使用间谍软件对其他政府进行国际间谍活动。这些案件绝大多数都不属于他们的范围和任务。然而,在某...
近期谷歌发布了Android的5月安全补丁的第二部分,其中包括对积极利用的Linux内核漏洞的修复。该漏洞编号为CVE-2021-22600,是Linux内核中的一个权限提升漏洞,威胁者可以通过本地访问来利用该漏洞。由于Android使用修改后的Linux内核,因此该漏洞也会影响操作系统。 谷歌的...
网络安全专家认为 CVE-2021-44228 的普遍性以及容易被利用,这个 Log4j 中的远程代码执行漏洞可能需要数月甚至数年时间才能得到妥善解决。McAfee Enterprise 和 FireEye 的高级威胁研究主管 Steve Povolny 表示,Log4Shell 的破坏力完全和 S...
微软披露其已经缓解了一场发生于8月份的2.4Tbps分布式拒绝服务(DDoS)攻击。这次攻击针对欧洲的一个Azure客户,比微软在2020年记录的最高攻击带宽量高出140%。它也超过了之前最大的攻击2.3Tbps的峰值流量,这是在去年针对亚马逊网络服务的攻击。 微软表示,这次攻击持续了10多分钟,...
网络安全研究人员发现了一个通过MSI安装程序分发的新版本的Jupyter infostealer。 2020年11月,Morphisec的研究人员发现,威胁者一直在使用.Net infostealer(记为Jupyter),从受害者那里窃取信息。 恶意软件Jupyter能够从多个应用程序收集数据,包...
Google 安全团队 Project Zero 近日分享了过去几年安全研究的统计数据,在 2019 年 1 月至 2021 年 12 月期间,团队共计报告了 376 个漏洞,期限为 90 天。其中 351 个(93.4%)已被修复,14 个(3.7%)被供应商标记为“WontFix”,11 个(2...