XSS та CSRF уразливості в Google
20:55 08.10.2006Розповім вам про ще одні уразливості в Гуглі. В минулому місяці я вже писав про XSS уразливість в Гуглі, а зараж продовжу тему уразливостей на сайтах Гугла. Це відома в світі компанія та найпопулярнійший пошуковець, тому й зрозуміла увага, яку приділяють до сайтів Гугла дослідники. І тому сам Гугл повинен серйозно слідкувати за безпекою власних сайтів.
В цьому році в Google було знайдено чимало різноманітних уразливостей. Окрім вже згадуваного мною XSS в Гуглі, в своєму запису Cross Site Scripting Vulnerability in Google (датованого липнем цього року) RSnake повідомляє про нові уразливості в Гуглі (частина з яких вже виправлена). Зокрема про XSS та CSRF. А також про ще один редиректор (я вже писав про попередній редиректор в записі Фішинг за допомогою Yahoo та Google).
До редиректорів я ще поверусь окремо, в інших моїх дослідженнях, а зараз розглянемо XSS та CSRF уразливості.
XSS була знайдена в інструменті додавання RSS feed (в налаштуваннях Персональної сторінки Гугла). Зараз ця уразливість вже виправлена, але ви можете глянути на скріншот на сайті RSnake.
CSRF (Cross Site Request Forgery) була знайдена в інших персоналізованих налаштуваннях Гугла, що дозволяє довільному (зловмисному) сайту змінити дефолтну локацію пошуку по мапам.
В цьому році Гугл все частіше з’являється в новинах - з повідомленням про нові уразливості на їхніх сайтах. Інші пошуковці, доречі, теж не виключення.