Google zamyka luki XSS w Gmailu

RafkoSkomentuj
Google zamyka luki XSS w Gmailu
Największym z zagrożeń była trwała luka XSS, którą można wykorzystać poprzez specjalnie spreparowany adres URL. Aby atak się powiódł, atakujący potrzebuje uzyskać kilka informacji na temat użytkownika: statyczne ID oraz ID wiadomości. Wartości te były łatwe do uzyskania przez przeciek referrera. Mail odpowiednio zakodowany w HTML, umożliwiał po jego otwarciu wyciągnięcie potrzebnych informacji.

Pozostałe luki XSS dotyczyły DOM (Document Object Model), także w widoku mobilnym Gmaila. Juenemann twierdzi, że Google Security Team szybko naprawił błędy po zgłoszeniu problemu.

Źródło: Google, Juenemann

Udostępnij

Rafko