感谢roustar31的投递 谷歌于近日宣布了一个免费开源的Chrome扩展Password Alert保护你Google账户免受钓鱼网站攻击。一旦你安装了它,如果在非Google登录网页上输入Google密码,Password Alert 将显示一个警告。但在发布不到24小时,国外某安全研究机构就发现了该扩展的绕过漏洞,通过几行精心设计的代码,就能屏蔽掉该扩展显示的警告信息。 该漏洞由国外安全机构发现并通知给科技网站Arstechnica。研究人员表示,与其花费精力在开发这些意义不大的扩展上,还不如提高谷歌账户的安全性和验证措施。 漏洞核心的绕过代码原理其实并不复杂,通过每5ms执行一次下列所示的js代码,就能将该扩展显示的警告信息屏蔽,虽然理论上该扩展还是能显示警告信息,但5ms的时间人类是察觉不到的。核心代码如下: <!-- BYPASS GOOGLE'S PASSWORD ALERT "PROTECTION" --> <script type="text/javascript"> setInterval(function() { if(document.getElementById("warning_banner")) { document.getElementById("warning_banner").remove(); } }, 5); <script> 验证视频:Bypassing-Googles-Password-Alert-Protection-YouTube.mp4 相关文章: 谷歌推出新Chrome扩展 打击网络钓鱼 cnBeta 已经入驻豌豆荚啦,扫描左侧的二维码就可以在豌豆荚关注我们。 豌豆荚,一个最懂应用的应用商店,发现无数好应用。
