Grave vulnerabilidad en Google Spreadsheets permitía hacerse con la cuenta de Google de los usuarios
No es la primera vez que encontramos una vulnerabilidad XSS dentro de alguna de las aplicaciones de Google ([1],
[2],
[3],
[4],
[5],
[6],
[7]), con la que por ejemplo un atacante puede hacerse con la cookie de nuestra sesión, tomar el control de nuestra cuenta de usuario, y a partir de ahí acceder a toda nuestra información: nuestros correos de Gmail, lo que consultamos en el buscador web, nuestros documentos de 'Google Desktop', nuestra cuenta bancaria de AdSense, los contenidos de nuestro Disco Duro, etc.
A pesar de la gravedad de estos fallos, y a pesar que dentro de la compañía se creo 'Google Lemon' para intentar detectarlos a tiempo, se acaba de conocer un nuevo agujero XSS que puede dejar en evidencia la seguridad que quiere presentar en todo momento Google con sus productos.
Casi todas las pruebas de vulnerabilidades XSS se realizan introduciendo contenidos el siguiente código JavaScript en aquellos campos en los que la aplicación web permite al usuario introducir sus propios contenidos (su nombre, comentarios, ...):
<script>alert('XSS')</script>
En caso de que se muestre una ventana con la palabra "XSS", la aplicación es vulnerable y un atacante puede, en caso de que existan cookies, redirigir al usuario a una URL en la que se almacenen dichas cookies que, en muchos casos, almacenan información muy sensible que puede provocar incluso que se pueda hacer con el control de la cuenta. Tenéis más pruebas de XSS en este enlace.
Una prueba más complicada, y aprovechándose de la manera que el navegador web IExplorer gestiona los 'Content-Types' de las páginas web, el ingeniero de seguridad Billy Ríos encontró una vulnerabilidad en la que se puede insertar el anterior código JavaScript en las hojas de cálculo en formato CSV de 'Google Docs', y ejecutándose dicho código, con lo que el atacante puede compartir dicho documento y hacerse con la cookie del usuario y, con ella (gracias a que es válida para todos los subdominios "*.google.com"), con toda su cuenta y toda su información personal.
Ríos subraya que, desde hace unos días, y gracias a su descubrimiento, los ingenieros de Google ya han solucionado esta vulnerabilidad.
 alert(\'XSS\'), el 14 de abril de 2008 a las 22:54h ( CET), dijo:
edfcsx
alert(\'XSS\'), el 15 de abril de 2008 a las 08:37h ( CET), dijo:
alert(\'XSS\')
Iñigo, el 15 de abril de 2008 a las 08:55h ( CET), dijo:
:) Ya hay dos personas que han intentado probar si en los comentarios de Dirson hay esta vulnerabilidad XSS.
LOL
 Faryshta, el 16 de abril de 2008 a las 21:32h ( CET), dijo:
alert(\'XSS\')
Pues eso de andar metiendo esos codigos me parece mas paranoia que utilidad.
Hagan como Windows, dejen la vulnerabilidad ahi, si nadie ve el codigo nadie se entererara y corrijanla en la siguiente version. jejejejeje es lo bueno que todo eso se busque antes que cause problemas y no mucho despues un aplauso a Google
alert(\'XSS\'), el 18 de abril de 2008 a las 14:47h ( CET), dijo:
alert(\'XSS\')
Puedes dejar un comentario sobre la noticia del post rellenando y enviando el siguiente formulario. Los campos marcados con asterisco (*) son obligatorios.
|