11:09
11/9/2013

Circuit Sneaker znalazł podatność XSS zlokalizowaną w …Google Vulnerability Sumission Form.

Google XSS Vulnerability Program

XSS w Google Vulnerability Program

Przy pomocy XSS-ów można próbować przekierować użytkownika na inną stronę lub przykryć oryginalną swoimi treściami (tzw. deface), a dodatkowo, w serwisach posiadających konta użytkowników można próbować ataków socjotechnicznych/phishingu na tychże użytkowników, wyświetlając fałszywe pola formularza i prosząc o podanie danych (np. loginu i hasła do konta Google).

W przypadku Google jednak atak tego typu miałby zapewne zerowe szanse na powodzenie — raz, że pewnie wszyscy zgłaszający błędy korzystają z dwuskładnikowego uwierzytelnienia, a dwa, że są na tyle świadomi, aby nie wpisywać haseł gdzie popadnie… a trzy, że alert to jedyne co można zrobić ;)

Podobno Google nie odpowiedziało jeszcze na zgłoszenie Circuit Sneakera odnośnie tego błędu, z nieoficjalnych informacji wiemy jednak, że googlowy zespół bezpieczeństwa jest ich świadomy — będzie bug bounty, czy nie? :-)

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

2 komentarzy

Dodaj komentarz
  1. Czekam na babola w obsłudze bug bounty. Będzie można samemu zgłosić błąd, samemu go pozytywnie rozpatrzyć i wydrukować kwit do realizacji w kasie ;-)

  2. juz mialem pisac ze podobnie jak ten koles nabraliscie sie na estereggsa ale widze po ostatni akapicie ze nie i zamierzacie wkrecac dalej , nieladnie niebezpieczniku robic nadzieje, nieladnie!;]]]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: