7:45
14/6/2012

Google łata XSS-y w GMailu

W ramach programu bug-bounty, czyli nagradzania internautów za zgłaszane błędy, Google załatało 3 XSS-y w GMailu zgłoszone przez Nilsa Juenemanna.

XSS w GMailu

Pierwszy z naprawionych błędów to persistent XSS, z odpowiednio skonstruowanym URL-em jako wektorem ataku. Do wykorzystania tego XSS-a potrzeba było jednak ID użytkownika, które Nils wyciągnął poprzez nagłówek referer dzięki wysłaniu ofierze odpowiednio spreparowanego e-maila w HTML z zewnętrznymi zasobami.

GMail XSS

GMail XSS

Pozostałe dwa błędy to persistent i reflected DOM-based XSS, które znajdowały sę w mobilnej wersji GMaila: https://mail.google.com/mail/mu/#cv/search/
%22%3E%3Cimg%20src%3Dx%20onerror%3Dalert(2)%3E/foobar

Nie wiesz jaka jest różnica pomiędzy relfected DOM-based XSS a persistent XSS? Chciałbyś przetrenować oba ataki i nauczyć się jak zabezpieczyć przed nimi swoje webaplikacje? Zapraszamy na nasze szkolenie z Atakowania i Ochrony Webaplikacji – zostało ostatnie miejsce!

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

19 komentarzy

Dodaj komentarz
  1. Parę literówek. “przy poprzez” oraz “oferze” rzuca się w oczy…

    • to zamknij oczy….

    • To jest poprawiona version of 1337 speak… ;D

      Deal with it ;D

  2. 6 komentarzy i żaden w temacie, a 7 -mój też zalicza się do tego typu

  3. rozwalaja mnie literowko hunterzy :D …

  4. 6 komentarzy (+1 mój) i żaden na temat. Well fucking done! Czy wy w końcu zrozumiecie naturę tego serwisu czy nie?

    • a kogo obchodzą jakieś błędy w procesorze skoro pierwszy raz od kilkuset lat mamy Euro w polsce

  5. Do mistiqe ja się zazwyczaj powstrzymuję od komentarzy jednakże notoryczne błędy podczas publikacji newsów są rażące. Chyba każdy zna sposób na pisanie newsów w Wordzie jeżeli szkoda mu czasu na przeczytanie kilku linijek.
    Lubie Wasz serwis i z przyjemnością czytam ale takie zachowanie to brak szacunku dla czytelnika ot tyle (nie) na temat.

    • jesli ty ortografie traktujesz jako brak szacunku – to brak mi slow
      dobrze napisane, konkretnie i na temat
      jak ktos kiedys powiedzial:
      “..nie podoba sie? to wypierd…c….”
      dziekuje

    • @angelus:
      Odpowiem na twoim poziomie: “Nie podoba się komentarz? To wyp…”.

      P.S. Błędna ortografia to JEST brak szacunku dla czytelnika.

      A w temacie, uważam, że błąd generalnie mało znaczący, ale mimo to, dobrze, że poprawiają również takie drobiazgi. Gdyby w Chrome chcieli poprawiać również takie drobiazgi, ech.

    • pisanie nieortograficznie to faktycznie brak szacunku, rozumu i godności dla drugiego człowieka bo jak można potem czytać taki tekst?

    • pszepraszamy za błendy. to sie wiencej nie powturzy.

  6. Nie rozumiem o czym jest artykuł, a napisać coś wypada, więc: poprawcie literówki! :)

    • O dłuższego czasu literówki są robione specjalnie (IMO), aby pośmiać się z takich jak wy (orto nazi group)

    • A pojęcie sarkazmu znasz? ;)

  7. No to znów offtop.

    Jak mawiał mój doktor na uczelni:
    “… dobry informatyk to taki, który robi błędy w słowie pisanym, a nie w kodzie źródłowym …” I muszę przyznać, że coś w tym jest, patrząc na moje otoczenie.

    A literówki robione są specjalnie po to, aby sprawdzić, czy w ogóle ktoś dokładnie czyta… ;-D

  8. to są za to nagrody? mam pełno xss’ów do FB/Youtuba/Gmaila….. gdzie to sie zgłasza?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: