Nir Goldshlager egy HTTP parameter pollution hibát fedezett fel a Google Blogger.com szolgáltatásában, mellyel tetszőleges blog felett át lehetett venni az irányítást. Ahogy arról már volt szó, HTTP parameter pollution esetén egy HTTP POST vagy GET kérésben többször adunk értéket ugyanazon változónak, a sebezhető alkalmazás pedig egyszer az egyik, később pedig a másik értéket használja fel a műveletei elvégzéséhez.
Ebben az esetben a szerkesztők meghívására szolgáló funkciónak a támadó saját blogjának azonosítója után az áldozat blogjának azonosítóját megadva a támadó meghívhatja magát másnak a blogjába, majd hasonló módon kiterjesztheti a jogosultságiait adminisztrátori szintig.
A hiba felfedezéséért Goldshlager bezsebelhette a Google híres $1337 díját.
fidesz = házmesterek pártja 2011.03.23. 13:55:49
Az első az volt, amivel már telesírtam a netet: ismerősök blogját (amiben egy darabig én is szerepeltem) letiltotta a google, holott semmi olyan tartalom nem volt rajta, ami erre okot adhatott volna (fotós blog egyébként). A gazdái próbálkoztak mindennel, hogy a több éves munkájuk ne vesszen el, de mindenhonnan lepattantak (kösz gúgli!)
Volt egy sajátom is, amiből szerettem volna egy tesztpéldányt készíteni a blogger export/import eszközeivel. "Természetesen" az export beleszemetelt, így a saját scriptjeim, meg egy-két egyéb apróság nem került át a másolatba. Ennél a pontnál végleg feladtam és másoknak is csak javasolni tudom, hogy keressenek más helyet a blogjuknak...
fidesz = házmesterek pártja 2011.03.23. 13:56:32