Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Néhány arcpirító Google sebezhetőség

2007.09.24. 20:49 | buherator | Szólj hozzá!

Rá jár a rúd a Google-re mostanában. Hiába, nem könnyű a világ egyik legnagyobb informatikai szolgáltatójának lenni... Már beszámoltam a Google Search Appliance hibájáról, ami közel 200.000 felhasználót érintett. Midnenkit megnyugtatok, a mostaniak még ennél is kiterjedtebbek:

Billy Rios és Nate McFaters egy olyan kis programcsomagot készített, melynek segítségével bárki Picasa-ban tárolt képei megnézhetők, ha megnyit egy speciális weboldalt. A támadás azért is különösen érdekes mert mindezt XSS-el, CARF-el (Cross Application Request Forgery), a Flash same domain policyjának megkerülésével, és a már jól ismert URI handler hiba kihasználásával együttesen érték el.
beford blogjának első posztjában két PoC exploitot mutat be, mindkettő a Google Polls szolgáltatásában lévő XSS-en alapul. Az első megmutatja a contact listádat, a második átirányítja a Gmail-es címre érkező leveleidet. Pontosabban beford ezt állítja, nálam nem működtek a kódok, valószínűleg a Google gyorsan javította hibát, ami egy pirospontot ér a három fekete mellé. Persze lehet, hogy csak én nem vettem észre, hogy meg lettem hackelve...na az lenne a ciki :)

Címkék: google picasa xss

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.