brandon在文章中指出,该漏洞已经导致某些用户丢失了他们在godaddy.com注册的域名。
但是brandon没有公开如何利用这个安全漏洞发起攻击的详细资料,只是指出攻击的关键在于获取代表用户名和@的变量。
用户在gmail账户里设置过滤器时,会向谷歌的服务器发出一条请求指令。这个请求指令是以url的形式存在,包含许多变量。 处于安全方面的原因,浏览器不会显示url中包含的所有变量。但是如果使用火狐以及一款名为live http headers的插件,就可以看到浏览器发送到谷歌服务器的全部变量。
之后,黑客只要找出代表用户名的变量即可。
brandon表示:获得这些变量的过程很复杂,但是并不是不可能的。我不打算告诉你怎么做,但是如果你在网络上搜索一下,你就会知道方法。
brandon表示,@变量可以通过访问恶意获得,他建议谷歌在每一条指令发出之后立刻让该变量过期,而不是等到进程结束之后再过期。
为了避免成为这个漏洞的受害者,brandon建议用户们经常检查过滤器设置。他表示,火狐用户还可以下载一款名为noscript的插件来防止受到攻击。
当然,任何利用cookies来要求验证的都可能被黑客以同样的方式利用。 为了避免成为这类攻击的受害者,gmail用户在使用完邮箱后应通过正常方式注销。此外,用户们最好不要访问不信任的。
谷歌代表没有立即回复记者的咨询。(编译林靖东)