No logo - Only favicon google.dirson.com
  <noticias de google en español>
Google
 
Tutorial de Posicionamiento | Último tema en el foro: Blog videos humor
 RSS - Sindicación
Feed Icon
feed RSS
 o Suscríbete al feed
 o ¿Qué es RSS?

 acerca de google
 o acciones de Google
 o faq google
 o historia de google
 o otros google's
 o la competencia
 o pagerankTM
 o tecnología
 o google & linux
 o logos de google
 o curiosidades
 o googlebot
 o Google Talk
 o AdWordsTM
 o AdSenseTM
 o países
 o hispanoamérica
 o google spain
 o google toolbar
 o Google Maps
 o YouTube
 o Google en español
 o Googel
 o teléfono móvil
 o Google Phone
 o Google Mobile OS
 o OpenSocial
 o Google Knol

 buscar en este blog

 email de google
 o Gmail
 o impresiones
 o trucos
 o utilidades

 herramientas
 o fresh machine
 o buscador
 o dirección IP
 o diccionario
 o google bombing
 o Google API
 o Buscador de vídeos

 webmasters
 o posicionamiento

 trucos
 o trucos para buscar
 o caché de google
 o google hacks

 discusiones
 o foro de Google
 o foro AdSense
 o foro posicionamiento
 o lista de correo

 sobre dirson
 o categorías
 o noticias en tu web
 o mapa web



Grave vulnerabilidad en Google Spreadsheets permitía hacerse con la cuenta de Google de los usuarios

No es la primera vez que encontramos una vulnerabilidad XSS dentro de alguna de las aplicaciones de Google ([1], [2], [3], [4], [5], [6], [7]), con la que por ejemplo un atacante puede hacerse con la cookie de nuestra sesión, tomar el control de nuestra cuenta de usuario, y a partir de ahí acceder a toda nuestra información: nuestros correos de Gmail, lo que consultamos en el buscador web, nuestros documentos de 'Google Desktop', nuestra cuenta bancaria de AdSense, los contenidos de nuestro Disco Duro, etc.

A pesar de la gravedad de estos fallos, y a pesar que dentro de la compañía se creo 'Google Lemon' para intentar detectarlos a tiempo, se acaba de conocer un nuevo agujero XSS que puede dejar en evidencia la seguridad que quiere presentar en todo momento Google con sus productos.

Casi todas las pruebas de vulnerabilidades XSS se realizan introduciendo contenidos el siguiente código JavaScript en aquellos campos en los que la aplicación web permite al usuario introducir sus propios contenidos (su nombre, comentarios, ...): 

<script>alert('XSS')</script>

En caso de que se muestre una ventana con la palabra "XSS", la aplicación es vulnerable y un atacante puede, en caso de que existan cookies, redirigir al usuario a una URL en la que se almacenen dichas cookies que, en muchos casos, almacenan información muy sensible que puede provocar incluso que se pueda hacer con el control de la cuenta. Tenéis más pruebas de XSS en este enlace.

Una prueba más complicada, y aprovechándose de la manera que el navegador web IExplorer gestiona los 'Content-Types' de las páginas web, el ingeniero de seguridad Billy Ríos encontró una vulnerabilidad en la que se puede insertar el anterior código JavaScript en las hojas de cálculo en formato CSV de 'Google Docs', y ejecutándose dicho código, con lo que el atacante puede compartir dicho documento y hacerse con la cookie del usuario y, con ella (gracias a que es válida para todos los subdominios "*.google.com"), con toda su cuenta y toda su información personal.

Ríos subraya que, desde hace unos días, y gracias a su descubrimiento, los ingenieros de Google ya han solucionado esta vulnerabilidad.

Publicado el 14 de abril de 2008 | Categoría: problemas | Comentarios

alert(\'XSS\') alert(\'XSS\'), el 14 de abril de 2008 a las 22:54h (CET), dijo:
edfcsx

alert(\'XSS\') alert(\'XSS\'), el 15 de abril de 2008 a las 08:37h (CET), dijo:
alert(\'XSS\')

Iñigo Iñigo, el 15 de abril de 2008 a las 08:55h (CET), dijo:
:) Ya hay dos personas que han intentado probar si en los comentarios de Dirson hay esta vulnerabilidad XSS.

LOL

Faryshta Faryshta, el 16 de abril de 2008 a las 21:32h (CET), dijo:
alert(\'XSS\')

Pues eso de andar metiendo esos codigos me parece mas paranoia que utilidad.

Hagan como Windows, dejen la vulnerabilidad ahi, si nadie ve el codigo nadie se entererara y corrijanla en la siguiente version. jejejejeje es lo bueno que todo eso se busque antes que cause problemas y no mucho despues un aplauso a Google

alert(\'XSS\') alert(\'XSS\'), el 18 de abril de 2008 a las 14:47h (CET), dijo:
alert(\'XSS\')

Puedes dejar un comentario sobre la noticia del post rellenando y enviando el siguiente formulario. Los campos marcados con asterisco (*) son obligatorios.

Tu nombre (*):
Esto será lo que aparecerá como el autor del comentario

Tu URL (opcional):
We use JavaScript redirections and 'rel=nofollow', so links are not considered by Google.

Tu email (*):
No lo haremos público. Además, con tu email puedes utilizar Gravatar para mostrar tu avatar personalizado.

Tu comentario (*):

We remove HTML tags.

Escribe las palabras que ves a continuación en este Captcha (queremos saber si eres un humano. Más info sobre Captcha en este link):

¿Tienes alguna noticia sobre Google para enviarnos? Puedes contactar con nosotros


Webmaster: ¿Quieres incluir en tu sitio web nuestras noticias y contenidos?


Últimas noticias

:: Obligan a Google a entregar información de direcciones IP basándose en su propia defensa de que la dirección IP "no es un dato personal"
:: Google Talk llega al iPhone y al iPod Touch (solo chateo en formato web)
:: Las autoridades antimonopolio de EEUU podrían investigar el acuerdo publicitario entre Google y Yahoo!
:: Formato Flash: Google comienza a rastrear los enlaces en estos documentos
:: El actual programa de referidos de Google desaparece, y solamente funcionará el de Performics

Últimos posts en el foro

:: Blog videos humor
:: ¿Google Webmasters ha sacado las estadísticas de rastreo?
:: Estan sintiendo la baja de verano?
:: Intercambio de Enlaces... Foro con PR4
:: Intercambio de enlaces con cualquier tipo de webs
::

IMPORTANTE: Este sitio web NO tiene ninguna afiliación ni relación con Google Inc. Todos los logotipos, marcas comerciales e imágenes son propiedad de Google Inc (Mountain View, CA 94043, USA). [Más información]