设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

Google Apps被爆漏洞,可伪造任意邮件地址发送邮件

2015-3-10 14:26| 发布者: 随便、先森。| 查看: 1756| 评论: 0|来自: 360安全播报

摘要: 最近有国外的安全研究者发现了Google Apps for Work的一个严重安全漏洞,该漏洞允许黑客伪造任意邮件地址发送邮件,利用该漏洞黑客可以发送钓鱼邮件给公司员工来进行攻击。Google Apps for Work允许你使用以自己域名 ...

最近有国外的安全研究者发现了Google Apps for Work的一个严重安全漏洞,该漏洞允许黑客伪造任意邮件地址发送邮件,利用该漏洞黑客可以发送钓鱼邮件给公司员工来进行攻击。

Google Apps for Work允许你使用以自己域名为后缀的邮箱地址,比如你想把你的邮箱换成[email protected],你只需要注册Google Apps for Work账户就可以了。

如果你想获取一个属于自己域名的邮箱地址,首先你先要注册一个账户,就像注册一个gmail账户一样。然后系统会要求你输入自己的域名。当你注册成功之后,你可以在Google app的接口上访问你的域名管理面板,但是在你验证通过域名之前你不能使用任何的服务。

安全研究者发现攻击者可以注册一个账户然后输入一个任意的域名,比如bankofanycountry.com,这样会获得一个[email protected]账户。当然,Google不会让你使用[email protected]的邮件服务,除非你通过了域名验证。也就是说你不能使用这个邮件地址发送或者接收电子邮件。

但是研究人员发现在另一个页面中Google允许使用该邮件发送注册邀请给该邮件域名下的其他成员,比如[email protected] ,但是邮件地址是可以修改的,也就是说,攻击者可以伪装成该地址发送邮件给任何人。

t012a3fecd640fcab45.png

为了演示漏洞危害,安全研究者成功的使用[email protected](Twitter旗下域名)发送了一封标题为Welcome to Twitter的邮件。当然这封邮件没有恶意,但是如果包含钓鱼内容发送给Twitter员工,相信中招的还是很多的。

t018618f60804e0b1b8.png

演示视频

http://my.tv.sohu.com/us/242877396/78818421.shtml

漏洞真的修复了吗?

当漏洞报给谷歌之后,谷歌迅速对漏洞做出了响应修复了漏洞,目前通过该功能发送的邮件已经全部由[email protected]发送,但是当你回复邮件时,邮件还是会回复到[email protected],而且攻击者依然能用google的域名发送任意内容的邮件,显然谷歌团队的修复方案不太令人满意。

t01588a53f17ceb064b.png




原文链接:http://thehackernews.com/2015/03/google-apps-vulnerability.html


鲜花

握手

雷人

路过

鸡蛋

相关阅读

发表评论

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
DDOS:NTP、SSDP、DNS、SNMP、RIP 放大反射攻击、扫描脚本
DDOS:NTP、SSDP、D
NTP、SSDP、DNS、SNMP、RIP 放大反射攻击扫描脚本 不懂的 请自行谷歌 声明:本文转
返回顶部