12:25
5/1/2010

Atak pozwalał na kradzież ciasteczek i przejęcie sesji użytkownika, a dziura została szybciutko załatana. Błąd leżał w opcji szybkiego dodawania Quick Add w kalendarzu.

Odkrywcą XSS-a jest Nir Goldshlager, który twiedzi, że wstrzykiwanie kodu HTML umożliwia przekierowanie oglądającej kalendarz ofiary na dowolną stronę. Google z kolei odpowiada w wywiadzie dla eWeek, że zgłoszony przez Nira błąd nie reprezentuje sobą wielkiego ryzyka.

I moim zdaneim, Google ma rację. Ofiara najpierw musiałaby zostać wmanewrowana w skopiowanie treści podsuniętych od nieznajomego a następnie umieszczenie ich w kalendarzu przez opcję szybkiego dodawania. Nie jest to ani prosty ani szybki sposób na przejęcie czyjegoś konta.

Quo Vadis XSS?

Zapewne nie pierwszy to i nie ostatni XSS w webaplikacjach Google’a czy Twittera. Warto jednak zdać sobię sprawę, że usług świadczonych przez Google jest wiele i jeśli komuś uda się znaleźć błąd w jednej z nich, to z łatwością dostanie się do pozostałych usług. Niech żyje Google Account, niech żyje integracja, niech żyje single point of failure :->

Przeczytaj także:

1 komentarz

Dodaj komentarz
  1. “Ofiara najpierw musiałaby zostać wmanewrowana w skopiowanie treści podsuniętych od nieznajomego a następnie umieszczenie ich w kalendarzu przez opcję szybkiego dodawania”

    A czy raczej nie chodzi o podsunięcie komuś (właśnie ofierze, czyli przeglądającemu, a nie właścicielowi kalendarza) linka do kalendarza, który można uznawać za link “bezpieczny” (bo Google i w ogóle), a który przekieruje ofiarę później na niebezpieczny?

    Tak czy siak, kliknięcie kalendarza jest mało atrakcyjnym (dla ofiar) sposobem ataku. Chyba, że będzie to np. “click to view Angelina Jolie’s nude sessions callendar!!!1” :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: