谷歌近日修復了一個點擊劫持漏洞，攻擊者可利用該漏洞恢復或者刪除Gmail對話、刪除YouTube播放列表、掌控Google+賬戶等等。

[[133431]]

百科：點擊劫持

這個詞首次出現(xiàn)在2008年，是由互聯(lián)網安全專家羅伯特·漢森和耶利米·格勞斯曼首創(chuàng)。簡單來說：當你打開一個網頁出現(xiàn)一個flash廣告框，點擊“關閉”按鈕，可結果廣告并沒有關閉，卻變成了全屏，這樣的情況在計算機安全領域叫做點擊劫持。

漏洞報告

攻擊者會創(chuàng)建一個按鈕，然后欺騙受害者點擊該按鈕，一旦受害者點擊了該按鈕，攻擊者會在幕后操縱一系列的惡意操作。

攻擊者可利用該漏洞進行的操作是：

1.刪除你YouTube的全部播放列表

2.刪除你的博客/發(fā)布的信息/評論

3.刪除郵件會話進程，恢復郵件/附件

4.得到你Google+中的活動信息和好友列表

5.基本上可以完成Google API所能完成的所有事情(developers.google.com)

在下面的例子中Yibelo向大家演示了如何利用點擊劫持漏洞刪除YouTube播放列表，以下是一些前提條件：

1.受害者之前授權過Google的應用程序編程接口(API)，并且仍然允許其運行。(這樣便可以輕而易舉地對它進行操控)

2.受害者訪問我們的惡意網站.(點擊劫持就發(fā)生在這里)

3.受害者的播放列表ID。(可以公開獲取)

當受害者點擊執(zhí)行之后，類似下面的鏈接就會刪除播放列表的ID PLFJifqT2CnZUvX3VRu66wqCNq8WLzlfE1(developers.google.com域是可以劫持的)。

https://developers.google.com/apis-explorer/#search/youtube/m/youtube/v3/youtube.playlists.delete?id=PLFJifqT2CnZUvX3VRu66wqCNq8WLzlfE1&_h=1

攻擊者會對域名進行最基本的設計，然后在頁面上放一個明顯的按鈕，例如類似于“點這贏取免費的iphone”等按鈕。然后，一旦受害者點擊了它…Duang!播放列表就消失了!

同樣的方法可以實施其他的惡意操作。

[[133432]]

結論

谷歌于4月21日給予Paulos Yibelo 1337美元的獎金。

大家普遍認為UI修正/點擊劫持是一低危的漏洞，防護措施也非常容易，盡管如此還是有很多應用程序是被這種漏洞攻破的。不過一次輕而易舉的點擊就可使谷歌賬號被完全劫持，而簡單的X-Frame-Options就可解決這一問題。