新闻链接：5d3K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6J5k6h3g2T1N6h3k6Q4x3X3g2U0L8$3#2Q4x3V1k6F1k6i4N6K6i4K6u0r3y4U0j5@1y4K6y4Q4x3X3g2Z5N6r3#2D9
新闻时间：2015-05-06
新闻正文：

           谷歌近日修复了一个点击劫持漏洞，攻击者可利用该漏洞恢复或者删除Gmail对话、删除YouTube播放列表、掌控Google+账户等等。

FreeBuf百科：点击劫持

这个词首次出现在2008年，是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创。简单来说：当你打开一个网页出现一个flash广告框，点击“关闭”按钮，可结果广告并没有关闭，却变成了全屏，这样的情况在计算机安全领域叫做点击劫持。

漏洞报告

攻击者会创建一个按钮，然后欺骗受害者点击该按钮，一旦受害者点击了该按钮，攻击者会在幕后操纵一系列的恶意操作。

攻击者可利用该漏洞进行的操作是：

1.删除你YouTube的全部播放列表
2.删除你的博客／发布的信息／评论
3.删除邮件会话进程，恢复邮件／附件
4.得到你Google＋中的活动信息和好友列表
5.基本上可以完成Google API所能完成的所有事情（developers.google.com）
在下面的例子中Yibelo向大家演示了如何利用点击劫持漏洞删除YouTube播放列表，以下是一些前提条件：

1.受害者之前授权过Google的应用程序编程接口(API)，并且仍然允许其运行。(这样便可以轻而易举地对它进行操控)
2.受害者访问我们的恶意网站.(点击劫持就发生在这里)
3.受害者的播放列表ID。(可以公开获取)
当受害者点击执行之后，类似下面的链接就会删除播放列表的ID PLFJifqT2CnZUvX3VRu66wqCNq8WLzlfE1（developers.google.com域是可以劫持的）。

229K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6V1k6i4k6W2L8r3!0H3k6i4u0K6i4K6u0W2k6$3!0G2k6$3I4W2i4K6u0W2j5$3!0E0i4K6u0r3j5i4m8A6M7#2)9J5k6r3g2^5M7r3I4G2M7X3g2J5i4K6u0r3i4K6t1K6M7$3g2S2M7X3y4Z5i4K6u0r3P5h3!0#2N6s2g2T1k6g2)9J5c8X3#2Q4x3V1k6&6L8%4g2@1N6h3u0W2i4K6u0r3N6U0y4Q4x3V1k6&6L8%4g2@1N6h3u0W2i4K6u0W2M7r3I4S2P5h3I4A6M7%4c8K6i4K6u0W2k6r3g2D9k6i4c8W2i4K6y4r3K9h3c8Q4x3@1c8b7e0p5k6v1K9h3k6I4g2o6u0o6L8W2A6g2N6W2R3K6g2W2u0#2y4U0k6%4M7f1y4z5M7e0S2i4e0s2A6D9k6V1f1I4i4K6t1$3i4K6g2X3K9q4)9K6c8o6p5`.

攻击者会对域名进行最基本的设计，然后在页面上放一个明显的按钮，例如类似于“点这赢取免费的iphone”等按钮。然后，一旦受害者点击了它…Duang！播放列表就消失了！

同样的方法可以实施其他的恶意操作。

结论

谷歌于4月21日给予Paulos Yibelo 1337美元的奖金。

大家普遍认为UI修正/点击劫持是一低危的漏洞，防护措施也非常容易，尽管如此还是有很多应用程序是被这种漏洞攻破的。不过一次轻而易举的点击就可使谷歌账号被完全劫持，而简单的X－Frame－Options就可解决这一问题。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！