5/1/2010
Atak pozwalał na kradzież ciasteczek i przejęcie sesji użytkownika, a dziura została szybciutko załatana. Błąd leżał w opcji szybkiego dodawania Quick Add w kalendarzu.
Odkrywcą XSS-a jest Nir Goldshlager, który twiedzi, że wstrzykiwanie kodu HTML umożliwia przekierowanie oglądającej kalendarz ofiary na dowolną stronę. Google z kolei odpowiada w wywiadzie dla eWeek, że zgłoszony przez Nira błąd nie reprezentuje sobą wielkiego ryzyka.
I moim zdaneim, Google ma rację. Ofiara najpierw musiałaby zostać wmanewrowana w skopiowanie treści podsuniętych od nieznajomego a następnie umieszczenie ich w kalendarzu przez opcję szybkiego dodawania. Nie jest to ani prosty ani szybki sposób na przejęcie czyjegoś konta.
Quo Vadis XSS?
Zapewne nie pierwszy to i nie ostatni XSS w webaplikacjach Google’a czy Twittera. Warto jednak zdać sobię sprawę, że usług świadczonych przez Google jest wiele i jeśli komuś uda się znaleźć błąd w jednej z nich, to z łatwością dostanie się do pozostałych usług. Niech żyje Google Account, niech żyje integracja, niech żyje single point of failure :->
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
“Ofiara najpierw musiałaby zostać wmanewrowana w skopiowanie treści podsuniętych od nieznajomego a następnie umieszczenie ich w kalendarzu przez opcję szybkiego dodawania”
A czy raczej nie chodzi o podsunięcie komuś (właśnie ofierze, czyli przeglądającemu, a nie właścicielowi kalendarza) linka do kalendarza, który można uznawać za link “bezpieczny” (bo Google i w ogóle), a który przekieruje ofiarę później na niebezpieczny?
Tak czy siak, kliknięcie kalendarza jest mało atrakcyjnym (dla ofiar) sposobem ataku. Chyba, że będzie to np. “click to view Angelina Jolie’s nude sessions callendar!!!1” :)