Billy Rios újabb trükköt fedezett fel a Google egyik webes alkalmazásában, ezúttal a Spreadsheets volt az "áldozat". Mivel a Google által beállított munkamenet azonosítók az egész google.com domainre érvényesek, a hiba kihasználsával az összes G-betűs szolgáltatás - pl. a Gmail, Google Docs és Code stb. - hozzáférhetővé válik.
A probléma gyökere a böngészők Content-type fejlécekkel kapcsolatos viselkedésében keresendő: Az összes jelentősebb ilyen alkalmazás ugyanis bizonyos esetekben figyelmen kívül hagyja a HTTP válaszban érkezett fejlécet, és a saját feje után menve igyekszik eldönteni, hogy milyen típusú adathalmaz érkezik a túloldalról. Ennek a lehetőségnek a kihasználásához elég létrehoznunk egy új táblázatot, melynek első mezőjébe tetszőleges HTML kódot írhatunk, majd az elkészült dokumentumot megoszthatjuk CSV-ként. Ezek után, ha valaki szeretné megnyitni a fájlt (melynek típusa text/plain, tehát egyszerű szöveg kellene hogy legyen), a böngésző - ebben az esetben az Internet Explorer - továbblépve a Content-type-on beleütközik az általunk létrehozott HTML kódba, aminek nagyon megörül, és elkezdi az érkező adatokat HTML-ként renderelni. Mivel a kódunk a google.com tartományban fut, hozzáférhetünk a kedves felhasználó összes ide tartozó azonosítójához, belenézhetünk a Gmailes postaládájába, hátsó kapukat helyezhetünk el a kódjaiban, vagy átböngészhetjük a naptárának bejegyzéseit, de a lehetőségek szinte korlátlanok (ezért kell vigyázni ilyen szolgáltatók estén a szokásosnál is jobban az XSS-ekkel).
Egyszerű, de hatékony módszer, kár hogy már javították ;) Nem árt azért elolvasni Blake Frantz "Flirting with MIMe types" című írását, hogy mi magunk ne essünk bele abba a hibába, amibe a Google szorgos programozói igen.
A probléma gyökere a böngészők Content-type fejlécekkel kapcsolatos viselkedésében keresendő: Az összes jelentősebb ilyen alkalmazás ugyanis bizonyos esetekben figyelmen kívül hagyja a HTTP válaszban érkezett fejlécet, és a saját feje után menve igyekszik eldönteni, hogy milyen típusú adathalmaz érkezik a túloldalról. Ennek a lehetőségnek a kihasználásához elég létrehoznunk egy új táblázatot, melynek első mezőjébe tetszőleges HTML kódot írhatunk, majd az elkészült dokumentumot megoszthatjuk CSV-ként. Ezek után, ha valaki szeretné megnyitni a fájlt (melynek típusa text/plain, tehát egyszerű szöveg kellene hogy legyen), a böngésző - ebben az esetben az Internet Explorer - továbblépve a Content-type-on beleütközik az általunk létrehozott HTML kódba, aminek nagyon megörül, és elkezdi az érkező adatokat HTML-ként renderelni. Mivel a kódunk a google.com tartományban fut, hozzáférhetünk a kedves felhasználó összes ide tartozó azonosítójához, belenézhetünk a Gmailes postaládájába, hátsó kapukat helyezhetünk el a kódjaiban, vagy átböngészhetjük a naptárának bejegyzéseit, de a lehetőségek szinte korlátlanok (ezért kell vigyázni ilyen szolgáltatók estén a szokásosnál is jobban az XSS-ekkel).
Egyszerű, de hatékony módszer, kár hogy már javították ;) Nem árt azért elolvasni Blake Frantz "Flirting with MIMe types" című írását, hogy mi magunk ne essünk bele abba a hibába, amibe a Google szorgos programozói igen.
