Colección de vulnerabilidades XSS en aplicaciones de Google
Aunque la presencia de vulnerabilidades XSS en
las aplicaciones de Google no sea algo nuevo (se han descubierto multitud de ellas durante los últimos años:
[1],
[2],
[3],
[4],
[5],
[6]),
y aunque incluso internamente se haya creado
una herramienta propia para
su detección, muchos servicios de Google siguen dejando ver estos agujeros de seguridad, que pueden hacer
por ejemplo que un atacante se haga con las cookies de un usuario.
Estos últimos días han aparecido un buen número de ellas, las cuales han sido recopiladas en
este post de Kriptopolis. Quizá la más grave sea
esta, puesto que permitía hacerse con el control de una cuenta de
Gmail, y a partir de ahí con
la cuenta de usuario de Google y toda su información
relacionada (cuentas de correo, conversaciones de chat, documentos, calendarios, cuenta bancaria, historial
de búsquedas, contenidos de Disco Duro si utiliza
'Google Desktop', ...)
Otra vulnerabilidad XSS es la que se comenta
ha.ckers.org, que está
presente en los buscadores web públicos de algunos organismos creados con el 'Google
Search Appliance' y que se puede ver por ejemplo
en este
enlace.
También se mencionan otras dos vulnerabilidades XSS
([1],
[2]) dentro de las páginas de
Picasa Web y
las que utilizan el software instalable de Urchin.
Publicado el 25 de septiembre de 2007 | Categoría: problemas
 hola, el 07 de mayo de 2008 a las 09:53h ( CET), dijo:
 hola
 aaaaaaaaaaaa, el 26 de mayo de 2008 a las 10:02h ( CET), dijo:
aaaaaaaaaaaaaaaaaa
 \'hola, el 18 de junio de 2008 a las 20:23h ( CET), dijo:
\'hola
 "hola,imdp, el 18 de junio de 2008 a las 20:25h ( CET), dijo:
"hola,imdp
 \'alert(, el 18 de junio de 2008 a las 20:27h ( CET), dijo:
\'alert("Hola!")
Puedes dejar un comentario sobre la noticia del post rellenando y enviando el siguiente formulario. Los campos marcados con asterisco (*) son obligatorios.
|
