虽然谷歌并没有把重定向漏洞列在bug bounty计划,其对重定向攻击的预防措施已经相当全面和有效。
然而,谷歌(Google)可能忽略其DoubleClick.net广告系统的安全性。经过一些测试,发现其DoubleClick.net易受公开重定向攻击。许多重定向都可能受到影响。
这些重定向可以很容易被垃圾邮件发送者利用。
某 些属于Googleads.g.Doubleclick.net的URL也容易受重定向攻击。虽然谷歌防止除 Googleads.g.Doubleclick.net外其他属于Google类似的URL重定向。攻击者可以使用Doubleclick 对此绕过,进而利用谷歌帐户相关的URL,使攻击更有效。
此外,这些漏洞可以被用来攻击,如谷歌,eBay,纽约时报,等其他公司。通过绕过他们公开重定向过滤器来进行隐蔽重定向攻击(Covert Redirect)。
发现者:
更多细节:
No comments:
Post a Comment