Menu
- Aktualności
- Mój startup Nowy odcinek
- Blogi ekspertów
- Projektowanie WWW
- Planowanie
- Hosting i domeny
- Organizacja i nawigacja
- Webdesign i grafika
- Warsztat - programy
- Tutoriale Photoshop
- Programowanie i tworzenie
- XHTML, HTML i CSS
- JavaScript, DOM i AJAX
- jQuery
- PHP i SQL
- Flash i ActionScript
- Dostępność i WAI
- Promowanie stron
- Pozycjonowanie
- Reklama i marketing
- Monitoring i statystyki
- Publicystyka
- Artykuły ogólne
- Społeczności
- Praca i zarabianie
- Wywiady
- Standardy sieciowe
- Zasoby
- Kursy
- Recenzje książek
- Linki
Dla webmastera
Dziura w Dokumentach Google
Pawe³ M±czka, 15-04-2008 | ŹródÅ‚o: heise online
Billy Rios, specjalista od zabezpieczeń wykrył lukę w Arkuszach Google, dzięki której można wykraść pliki cookie użytkownika. Za ich pomocą z kolei możliwe jest zalogowanie się do wszystkich usług Google.
Problem polega na ignorowaniu przez większość popularnych przeglądarek (nie tylko Internet Explorer, lecz także w niektórych warunkach Mozilla Firefox, Opera i Safari są podatne na atak) nagłówka Content-Type. Przeglądarki te automatycznie ustalają typ MIME pliku.
Dzięki temu wprowadzając w arkuszu kalkulacyjnym kod JavaScript indeksujący pliki cookie, a następnie eksportując arkusz do formatu CSV mogliśmy obejrzeć zawartość cookie użytkownika.
"Za pomocą tej luki Cross-Site Scripting mogłem czytać korespondencję Gmail ofiary, wstawiać backdoory w jej skrypcie na code.google.com, kraść dokumenty Google'a i w gruncie rzeczy robić wszystko w Google'u tak, jakbym był ofiarą ataku" - mówi Billy Rios.
Luka została już załatana przez Google. W chwili obecnej wprowadzając kod HTML w arkuszu przeglądarka wyświetli go jako tekst, nie renderując go.
Dzięki temu wprowadzając w arkuszu kalkulacyjnym kod JavaScript indeksujący pliki cookie, a następnie eksportując arkusz do formatu CSV mogliśmy obejrzeć zawartość cookie użytkownika.
"Za pomocą tej luki Cross-Site Scripting mogłem czytać korespondencję Gmail ofiary, wstawiać backdoory w jej skrypcie na code.google.com, kraść dokumenty Google'a i w gruncie rzeczy robić wszystko w Google'u tak, jakbym był ofiarą ataku" - mówi Billy Rios.
Luka została już załatana przez Google. W chwili obecnej wprowadzając kod HTML w arkuszu przeglądarka wyświetli go jako tekst, nie renderując go.
Ocena 2.27/5 (45.45%) (11 głosów)
- Åšledzik
Komentarze:
Dodaj komentarz:
Najlepiej oceniane newsy
- Mobilna strona Facebooka od??wie??ona (5.00)
- Facebook bez limitu wieku? (5.00)
- Stadiony na Euro 2012 w Google Street View (4.50)
- Chrome czÄ???ciej u??ywany ni?? IE? (4.00)
- Samoobs??uga w Onet.pl (3.71)
- Mobilking: witryna nowego operatora kom??rkowego (3.60)
- IE6 poni??ej 1 proc. w USA (3.60)
- Google+ coraz popularniejszy w Polsce (3.60)
- Mapy Google z wyszukiwaniem g??osowym (3.59)
- Ilu u??ytkownik??w miesiÄ?cznie korzysta z T??umacza Google? (3.58)