10月11日国际报道，安全研究人员于本周一表示，Google已经修正了其网站上的一处安全缺陷，该缺陷为钓鱼式攻击、帐户挟持等攻击打开了大门。

　　据发现该缺陷的安全专家称，这一跨站点脚本缺陷存在于Google的AdWords 广告计划和客户培训网站上。黑客可以利用该缺陷挟持Google的帐户、发动钓鱼式攻击，甚至能够在用户的计算机上下载恶意代码。

　　钓鱼式攻击旨在诱惑用户透露用户名、密码、信用卡详细资料、社保号等机密信息。

　　安全专家于上个月底向Google通报了这一缺陷，Google在30个小时内就修正了该缺陷。安全专家莉摩尔说，Google的响应非常积极。 Google的证实说，它提前得到了警告，并修正了该缺陷。没有用户资料被泄露，我们对安全专家披露缺陷的方式表示赞同。

　　据安全专家称，该安全问题存在的原因是，Google网站上的表单没有对输入的数据进行验证和过滤，这使得黑客能够注入在用户计算机上运行的内容和代码。为了利用这一缺陷，黑客必须伪造一个Web链接，并诱惑用户点击它。

　　莉摩尔说，这一缺陷的危险之处就在于，黑客设计的链接与真正的Google链接非常想象。

　　跨站点脚本缺陷非常常见。今年早些时候，该安全专家在微软的Xbox 360 Web网站上发现了一个类似的缺陷。在早些时候，这位安全专家还发现了雅虎基于Web 的电子邮件服务中的缺陷。

　　这位安全专家开发了对网站进行扫描，发现其中缺陷的工具，它经常对流行的网站进行测试。莉摩尔指出，我们这样做的目的是鼓励厂商改进它们的产品。

　　在修正这一跨站点脚本缺陷后，Google Web网站被Finjan认为是安全的。莉摩尔说，我们发现，Google网站的其它部分不容易受到攻击，至少不存在跨站点脚本缺陷。我们将继续监测该网站。

(责任编辑：关美纳)

共找到 16,950,325 个相关网页.