7:45
14/6/2012
14/6/2012
W ramach programu bug-bounty, czyli nagradzania internautów za zgłaszane błędy, Google załatało 3 XSS-y w GMailu zgłoszone przez Nilsa Juenemanna.
XSS w GMailu
Pierwszy z naprawionych błędów to persistent XSS, z odpowiednio skonstruowanym URL-em jako wektorem ataku. Do wykorzystania tego XSS-a potrzeba było jednak ID użytkownika, które Nils wyciągnął poprzez nagłówek referer dzięki wysłaniu ofierze odpowiednio spreparowanego e-maila w HTML z zewnętrznymi zasobami.
GMail XSS
Pozostałe dwa błędy to persistent i reflected DOM-based XSS, które znajdowały sę w mobilnej wersji GMaila: https://mail.google.com/mail/mu/#cv/search/
%22%3E%3Cimg%20src%3Dx%20onerror%3Dalert(2)%3E/foobar
Nie wiesz jaka jest różnica pomiędzy relfected DOM-based XSS a persistent XSS? Chciałbyś przetrenować oba ataki i nauczyć się jak zabezpieczyć przed nimi swoje webaplikacje? Zapraszamy na nasze szkolenie z Atakowania i Ochrony Webaplikacji – zostało ostatnie miejsce!
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Parę literówek. “przy poprzez” oraz “oferze” rzuca się w oczy…
to zamknij oczy….
To jest poprawiona version of 1337 speak… ;D
Deal with it ;D
6 komentarzy i żaden w temacie, a 7 -mój też zalicza się do tego typu
I fixed that for you :)
rozwalaja mnie literowko hunterzy :D …
6 komentarzy (+1 mój) i żaden na temat. Well fucking done! Czy wy w końcu zrozumiecie naturę tego serwisu czy nie?
a kogo obchodzą jakieś błędy w procesorze skoro pierwszy raz od kilkuset lat mamy Euro w polsce
Do mistiqe ja się zazwyczaj powstrzymuję od komentarzy jednakże notoryczne błędy podczas publikacji newsów są rażące. Chyba każdy zna sposób na pisanie newsów w Wordzie jeżeli szkoda mu czasu na przeczytanie kilku linijek.
Lubie Wasz serwis i z przyjemnością czytam ale takie zachowanie to brak szacunku dla czytelnika ot tyle (nie) na temat.
jesli ty ortografie traktujesz jako brak szacunku – to brak mi slow
dobrze napisane, konkretnie i na temat
jak ktos kiedys powiedzial:
“..nie podoba sie? to wypierd…c….”
dziekuje
@angelus:
Odpowiem na twoim poziomie: “Nie podoba się komentarz? To wyp…”.
P.S. Błędna ortografia to JEST brak szacunku dla czytelnika.
A w temacie, uważam, że błąd generalnie mało znaczący, ale mimo to, dobrze, że poprawiają również takie drobiazgi. Gdyby w Chrome chcieli poprawiać również takie drobiazgi, ech.
pisanie nieortograficznie to faktycznie brak szacunku, rozumu i godności dla drugiego człowieka bo jak można potem czytać taki tekst?
pszepraszamy za błendy. to sie wiencej nie powturzy.
Nie rozumiem o czym jest artykuł, a napisać coś wypada, więc: poprawcie literówki! :)
O dłuższego czasu literówki są robione specjalnie (IMO), aby pośmiać się z takich jak wy (orto nazi group)
A pojęcie sarkazmu znasz? ;)
No to znów offtop.
Jak mawiał mój doktor na uczelni:
“… dobry informatyk to taki, który robi błędy w słowie pisanym, a nie w kodzie źródłowym …” I muszę przyznać, że coś w tym jest, patrząc na moje otoczenie.
A literówki robione są specjalnie po to, aby sprawdzić, czy w ogóle ktoś dokładnie czyta… ;-D
to są za to nagrody? mam pełno xss’ów do FB/Youtuba/Gmaila….. gdzie to sie zgłasza?
do nas ;)