当前位置:安全客 >> 资讯详情

谷歌网络钓鱼防护工具 可被一小段代码绕过

2015-07-25 23:14:30 阅读:0次 收藏 来源: 安全客

http://p4.qhimg.com/t0188f5690d86f359d2.jpg

小编科普 谷歌密码警告:谷歌在今年四月推出了一款新的Chrome扩展,名为“密码警告”,旨在作为对付网络钓鱼攻击的早期预警系统。 该扩建对比用户密码哈希版和用户在浏览器当中输入的字符,如果发现用户已经进入了非谷歌网站输入谷歌的密码,它会将用户重定向到一个警告页面,告诉用户出 了问题。由于密码警报仅持有密码的哈希版本,它在检测过程当中,不会暴露用户实际密码,另外谷歌这个浏览器扩展还支持局域网管理员部署此项功能。


正文:

谷歌密码提醒最近变得非常流行。它非常有用,可以成为一个伟大的防守工具用来减轻网络钓鱼对谷歌用户的损失。

当这个工具被完成时,他已经被人bypass过几次,但是谷歌第一时间已经把所有已知的漏洞修补了。

我听说谷歌修补后所有已知的漏洞后,我想测试将需要多长时间让我绕过它。

我的第一个主意是用document.write。用Unicode编码写钓鱼页面,然后查看返回结果。该方法在v1.12版本的时候是运行成功的。

我已经通过谷歌的VRP页面报告了这个漏洞,然后谷歌团队成员向我索取了项目的Github页面。我已经在6月24日report到Github ,可是我并没有收到一个谷歌修复了这个漏洞的回应。下一个版本,v1.13已经发布,但是没有修补这个漏洞。因此,这个饶过漏洞在v1.13也是可以执行的。

http://p3.qhimg.com/t01669d3c1259ceaef9.jpg

Github报告:https://github.com/google/password-alert/issues/72

一个完整的示例如下:

<script>document.write("[PAGE IN UNICODE]");</script>

演示视频

最后的思考:

谷歌密码防护警告是一个非常好的主意,因为它有助于防止网络钓鱼,对许多公司有很好的好处。所以我希望在下一个版本更新里能修复这个漏洞。

这整个绕过过程大约花费了我5分钟的时间(包括思维),这不是一个很困难的问题。我希望谷歌能更加的努力来防止bypass这个工具。

小编:“密码告警”扩展插件此次的绕过,谷歌目前还没有给出补丁、修复方案,如果有安装了正在使用这个扩展插件的同学请关注和及时更新官方补丁,以避免给自己造成损失。


本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:http://blog.mazinahmed.net/2015/07/bypassing-google-password-alert-with.html

参与讨论,请先 | 注册 | 匿名评论
发布
用户评论
无任何评论