2018年04月6日网站服务器迁移完成……

安全扩展不安全 谷歌Password Alert被发现存在绕过漏洞

web防护 苏 demo 2092℃ 0评论

谷歌于 近日宣布 了一个免费开源的Chrome扩展 Password Alert 保护你Google账户免受钓鱼网站攻击。一旦你安装了它,如果在非Google登录网页上输入Google密码,Password Alert 将显示一个警告。但在发布不到24小时,国外某安全研究机构就 发现了该扩展的绕过漏洞 ,通过几行精心设计的代码,就能屏蔽掉该扩展显示的警告信息。

1

该漏洞由国外安全机构发现并通知给 科技网站Arstechnica 。研究人员表示,与其花费精力在开发这些意义不大的扩展上,还不如提高谷歌账户的安全性和验证措施。

漏洞核心的绕过代码原理其实并不复杂,通过每5ms执行一次下列所示的js代码,就能将该扩展显示的警告信息屏蔽,虽然理论上该扩展还是能显示警告信息,但5ms的时间人类是察觉不到的。核心代码如下:

<!– BYPASS GOOGLE’S PASSWORD ALERT “PROTECTION” –>

<script type=”text/javascript”>

setInterval(function() {

if(document.getElementById(“warning_banner”)) {

document.getElementById(“warning_banner”).remove();

}

}, 5);

<script>

验证视频: Bypassing-Googles-Password-Alert-Protection-YouTube.mp4

打赏

转载请注明:苏demo的别样人生 » 安全扩展不安全 谷歌Password Alert被发现存在绕过漏洞

   如果本篇文章对您有帮助,欢迎向博主进行赞助,赞助时请写上您的用户名。
支付宝直接捐助帐号oracle_lee@qq.com 感谢支持!
喜欢 (0)or分享 (0)
发表我的评论
取消评论
表情