日前，国外安全研究员Oren Hafif发现了一个谷歌Gmail账户的严重漏洞，利用该漏洞可以重置任意用户的密码。

Oren表示该问题由于Gmail存在xss和csrf漏洞，当攻击者发送一封标题为“确认账户所有权”的钓鱼邮件，要求收件人确认账户的所有权， 并要求用户更改密码。在这封伪造的电子邮件中指向一个HTTPS的google.com地址，利用CSRF漏洞定制电子邮件，会直接控制受害者的账户。

钓鱼邮件中里面的链接如下：

http://www.orenh.com/test.html#Email=hatechnion@gmail.com

但是事实上它执行了另外一段代码：

上面的代码中，读取一个hash的参数Email，创建了一个image标签链接到初始化密码恢复链接，请求之后会抛出一个异常（因为这不是一个真正的图像）

在Google的https页面上会要求用户确认所有权并输入密码，并重新设置自己的密码。

通过onError重新向到存在XSS漏洞的页面，OK，获取用户的密码。

youtube攻击演示视频地址戳这里。

Via Freebuf.com