Rá jár a rúd a Google-re mostanában. Hiába, nem könnyű a világ egyik legnagyobb informatikai szolgáltatójának lenni... Már beszámoltam a Google Search Appliance hibájáról, ami közel 200.000 felhasználót érintett. Midnenkit megnyugtatok, a mostaniak még ennél is kiterjedtebbek:
Billy Rios és Nate McFaters egy olyan kis programcsomagot készített, melynek segítségével bárki Picasa-ban tárolt képei megnézhetők, ha megnyit egy speciális weboldalt. A támadás azért is különösen érdekes mert mindezt XSS-el, CARF-el (Cross Application Request Forgery), a Flash same domain policyjának megkerülésével, és a már jól ismert URI handler hiba kihasználásával együttesen érték el.
beford blogjának első posztjában két PoC exploitot mutat be, mindkettő a Google Polls szolgáltatásában lévő XSS-en alapul. Az első megmutatja a contact listádat, a második átirányítja a Gmail-es címre érkező leveleidet. Pontosabban beford ezt állítja, nálam nem működtek a kódok, valószínűleg a Google gyorsan javította hibát, ami egy pirospontot ér a három fekete mellé. Persze lehet, hogy csak én nem vettem észre, hogy meg lettem hackelve...na az lenne a ciki :)
Billy Rios és Nate McFaters egy olyan kis programcsomagot készített, melynek segítségével bárki Picasa-ban tárolt képei megnézhetők, ha megnyit egy speciális weboldalt. A támadás azért is különösen érdekes mert mindezt XSS-el, CARF-el (Cross Application Request Forgery), a Flash same domain policyjának megkerülésével, és a már jól ismert URI handler hiba kihasználásával együttesen érték el.
beford blogjának első posztjában két PoC exploitot mutat be, mindkettő a Google Polls szolgáltatásában lévő XSS-en alapul. Az első megmutatja a contact listádat, a második átirányítja a Gmail-es címre érkező leveleidet. Pontosabban beford ezt állítja, nálam nem működtek a kódok, valószínűleg a Google gyorsan javította hibát, ami egy pirospontot ér a három fekete mellé. Persze lehet, hogy csak én nem vettem észre, hogy meg lettem hackelve...na az lenne a ciki :)
