愚人节已经过去很久了,但是在愚人节发生的很多事却实际上带给很多人麻烦。谷歌这个公司自以为自己的愚人节玩笑很好玩,但是却给自己带来了很多麻烦。
上次愚人节恶作剧Doodle让谷歌网站带来了安全隐患,谷歌网站出现了一个错误,短暂的允许click-jacking利用漏洞诱骗用户执行不自愿的操作,比如改变用户首选项。
谷歌的愚人节恶作剧已经成为互联网上很受欢迎的消遣方式。今年在4月1日访问谷歌网站的人发现谷歌标志性的主页内容倒着显示。网页开发人员也发现页面上有一个评论显示"!sLooF LIRPA YPPAH,",这实际上是愚人节快乐(Happy April Fool's)倒着写的样子。根据Netcraft研究院周五发布的一篇博文显示,该恶作剧也导致了谷歌主页省略了一个至关重要的标头,这个标头用于防止click-jacking攻击。
改变代码削弱了谷歌防御click-jacking攻击的能力
攻击者可以利用此漏洞改变用户的搜索设定,包括关闭安全搜索过滤器。使用X-Frame-Options的主要原因是为了防止使用HTML内嵌框架标签在第三方网页显示谷歌首页。绕过这一保护,攻击者可以将谷歌的首页放到自己网站,嵌入隐藏代码改变特定链接的功能。Netcraft的博客中如下解释:
这个问题源于谷歌使用内嵌框架将google.com倒着显示为com.google的方式。这通常不太可能,因为google.com使用X-Frame-OptionsHTTP响应标头组织其他网站在一个内嵌框架中展示google.com主页。但是为了愚人节玩笑,谷歌通过对google.com使用"igu=2"参数绕过了上述问题,不仅能够倒着显示文字,同时也指示服务器完全省略X-Frame-Options标头。
HTML代码允许com.google使用一个内嵌框架展示google.com倒着的搜索主页。
远程攻击者也可以利用这个「特性」在外部域显示谷歌搜索设置页面,诱使受害者无意中改变这些设置。一个精心策划的clickjacking攻击可能不知不觉中进行了,然后受害者的设置在已经被改变之后才会发现。
以下是谷歌搜索设置页面的常规反应,注意X-Frame-Options标头的存在:
HTTP/2.0 200 OK
Alternate-Protocol: 443:quic,p=0.5
Cache-Control: private
Content-Encoding: gzip
Content-Length: 35486
Content-Type: text/html; charset=UTF-8
Date: Wed, 01 Apr 2015 09:54:14 GMT
Expires: Wed, 01 Apr 2015 09:54:14 GMT
Server: gws
Set-Cookie: [redacted]
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
X-Firefox-Spdy: h2-15
相反的,通过附加的igu=2参数,X-Frame-Options标头被省略,从而页面可以在攻击者自己网站上的显示:
HTTP/2.0 200 OK
Alternate-Protocol: 443:quic,p=0.5
Cache-Control: private
Content-Encoding: gzip
Content-Length: 33936
Content-Type: text/html; charset=UTF-8
Date: Wed, 01 Apr 2015 09:58:30 GMT
Expires: Wed, 01 Apr 2015 09:58:30 GMT
Server: gws
Set-Cookie: [redacted]
X-XSS-Protection: 1; mode=block
X-Firefox-Spdy: h2-15
因此,任何人都可以在自己网站上的一个内嵌框架内显示谷歌搜索设置网页。通过在显示图片下嵌入图片,攻击者可以可以操纵用户操作。Netcraft将此问题报告给了谷歌。因此谷歌工程师将不会再采用这种有风险的方法开愚人节玩笑了。