今天虽然是周六，但也是欧洲黑帽大会马上就要结束的日子阿姆斯特

今天虽然是周六，但也是欧洲黑帽大会马上就要结束的日子（阿姆斯特丹当地时间14日－17日），安全牛君经过观察，率先给大家总结出这次大会上的3个神级漏洞。其实，与其说是漏洞不如说是攻击的思维模式，那叫一个牛！

安全人员Ben Hayak在大会上演示了这种称之为SOME（相同来源方法执行）的攻击方法，并成功的搞定Google+上的用户。

这种方法的利用原理与最近的名人**泄露事件类似。受害者用手机拍照，然后照片通过Google的“自动备份”功能自动上传到Google+的服务器中。而黑客只需让受害者点击一个链接，就可把用户所有的照片和视频发送到自己控制的服务器上。

这个漏洞与Java脚本对象注释与填充(JSONP)的执行有关，可以允许攻击者以用户的身份执行动作。如果利用恶意广告作为载体，该攻击甚至无需用户介入即可发生。

SOP（相 同来源策略）是一种安全机制，用来防止不相关的网站相互影响。然而，有时为了与第三方服务通信，网站需要屏蔽SOP。比如，网站需要识别访问的地理位置 时，需要使用网络地理服务。网站开发者可能会使用JSONP这种通信技术从不同的域名服务器上请求数据，因为用户的浏览器并不会强制执行SOP 的