Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

XSS lyuk a Google Apps-ban: A cég szerint nem hiba

2007.08.17. 21:42 | buherator | Szólj hozzá!

RSnake kicsit felkapta a vizet, miután a Google válaszolt neki egy hibabejelentésre, amelyben egy google.com gmodules.com-on keresztüli XSS-t lehetővé tévő hibát írt le. A válaszadó szerint a hiba nem alkalmas arra, hogy egy támadó a google.com domainhez tartozó sütikhez és hasonlókhoz hozzáférjen, ezért a bemutatott problémát "elvárt viselkedésnek" tekintik.

Egyelőre ilyen jellegű támadás tényleg nem ismert (és a cross-domain policy miatt valószínűleg nem is lehetséges - hacsak az ember át nem vágja a böngészőt, mint arra már számos példát láttunk), a Google Team azonban átsiklott olyan apróságok fölött mint pl. hogy ez a lyuk alkalmas lehet arra, hogy phisherek a Google mögé bújjanak, vagy hogy egy megfelelően elkészített modul kód egy weboldalba beillesztve ártalmas kódot futtathat a látogatók gépén (a Google-ben ugye a legtöbben megbíznak, a NoScript sem jelent teljes védelmet).

Az igazsághoz azért hozzá tartozik, hogy a válaszban a Google-s srácok nem zárkóztak el az észrevétel hibaként történő elfogadásától, amennyiben további magyarázatot vagy működő exploitot kapnak.

Címkék: google xss

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.