7:45
14/6/2012

Google łata XSS-y w GMailu

W ramach programu bug-bounty, czyli nagradzania internautów za zgłaszane błędy, Google załatało 3 XSS-y w GMailu zgłoszone przez Nilsa Juenemanna.

XSS w GMailu

Pierwszy z naprawionych błędów to persistent XSS, z odpowiednio skonstruowanym URL-em jako wektorem ataku. Do wykorzystania tego XSS-a potrzeba było jednak ID użytkownika, które Nils wyciągnął poprzez nagłówek referer dzięki wysłaniu ofierze odpowiednio spreparowanego e-maila w HTML z zewnętrznymi zasobami.

GMail XSS

GMail XSS

Pozostałe dwa błędy to persistent i reflected DOM-based XSS, które znajdowały sę w mobilnej wersji GMaila: https://mail.google.com/mail/mu/#cv/search/
%22%3E%3Cimg%20src%3Dx%20onerror%3Dalert(2)%3E/foobar

Nie wiesz jaka jest różnica pomiędzy relfected DOM-based XSS a persistent XSS? Chciałbyś przetrenować oba ataki i nauczyć się jak zabezpieczyć przed nimi swoje webaplikacje? Zapraszamy na nasze szkolenie z Atakowania i Ochrony Webaplikacji – zostało ostatnie miejsce!

Przeczytaj także:



19 komentarzy

Dodaj komentarz
  1. Parę literówek. “przy poprzez” oraz “oferze” rzuca się w oczy…

    • to zamknij oczy….

    • To jest poprawiona version of 1337 speak… ;D

      Deal with it ;D

  2. 6 komentarzy i żaden w temacie, a 7 -mój też zalicza się do tego typu

  3. rozwalaja mnie literowko hunterzy :D …

  4. 6 komentarzy (+1 mój) i żaden na temat. Well fucking done! Czy wy w końcu zrozumiecie naturę tego serwisu czy nie?

    • a kogo obchodzą jakieś błędy w procesorze skoro pierwszy raz od kilkuset lat mamy Euro w polsce

  5. Do mistiqe ja się zazwyczaj powstrzymuję od komentarzy jednakże notoryczne błędy podczas publikacji newsów są rażące. Chyba każdy zna sposób na pisanie newsów w Wordzie jeżeli szkoda mu czasu na przeczytanie kilku linijek.
    Lubie Wasz serwis i z przyjemnością czytam ale takie zachowanie to brak szacunku dla czytelnika ot tyle (nie) na temat.

    • jesli ty ortografie traktujesz jako brak szacunku – to brak mi slow
      dobrze napisane, konkretnie i na temat
      jak ktos kiedys powiedzial:
      “..nie podoba sie? to wypierd…c….”
      dziekuje

    • @angelus:
      Odpowiem na twoim poziomie: “Nie podoba się komentarz? To wyp…”.

      P.S. Błędna ortografia to JEST brak szacunku dla czytelnika.

      A w temacie, uważam, że błąd generalnie mało znaczący, ale mimo to, dobrze, że poprawiają również takie drobiazgi. Gdyby w Chrome chcieli poprawiać również takie drobiazgi, ech.

    • pisanie nieortograficznie to faktycznie brak szacunku, rozumu i godności dla drugiego człowieka bo jak można potem czytać taki tekst?

    • pszepraszamy za błendy. to sie wiencej nie powturzy.

  6. Nie rozumiem o czym jest artykuł, a napisać coś wypada, więc: poprawcie literówki! :)

    • O dłuższego czasu literówki są robione specjalnie (IMO), aby pośmiać się z takich jak wy (orto nazi group)

    • A pojęcie sarkazmu znasz? ;)

  7. No to znów offtop.

    Jak mawiał mój doktor na uczelni:
    “… dobry informatyk to taki, który robi błędy w słowie pisanym, a nie w kodzie źródłowym …” I muszę przyznać, że coś w tym jest, patrząc na moje otoczenie.

    A literówki robione są specjalnie po to, aby sprawdzić, czy w ogóle ktoś dokładnie czyta… ;-D

  8. to są za to nagrody? mam pełno xss’ów do FB/Youtuba/Gmaila….. gdzie to sie zgłasza?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: