27 сентября 2007
Новая уязвимость в сервисах Google: кража писем из Gmail
В дополнение к трем уязвимостям в продуктах и сервисах Google - Groups, поисковой машине и Picasa, обнаруженным на этой неделе, в среду, 26 сентября, в системе сервисов портала найдена еще одна. Уязвимость позволяет похитить письма из ящика Gmail. Уязвимость обнаружил исследователь GNU Citizen Петко Петков (Petko D. Petkov), сообщает The Register. Она, как и три вышеупомянутые, относится к классу межсайтового скриптинга (CSS/XSS). При переходе по URL, содержащему JavaScript-код в значении одного из параметров вызова веб-страницы, этот код выполняется на самой странице от имени сайта, к которому обратился пользователь. Подобные уязвимости вызваны отсутствием проверки содержимого параметров перед тем, как вывести его на веб-страницу. Надежно написанные веб-приложения отсеивают HTML-тэги, включая JavaScript. Обычно при помощи CSS/XSS крадут куки с данными об авторизации или подгружают файлы, которые пользователь запустит, доверяя уязвимому сайту. В случае с Gmail злоумышленник может при помощи кода добавить в учетную запись фильтр, копирующий письма по указанному адресу. Для того чтобы уязвимость можно было использовать, в браузере жертвы должен быть открыт почтовый ящик Gmail.
Uinc
Все новости |
Январь 2009 |
Декабрь 2008 |
Ноябрь 2008 |
Октябрь 2008 |
Сентябрь 2008 |
Август 2008 |
Июль 2008 |
Июнь 2008 |
Май 2008 |
Апрель 2008 |
Март 2008 |
Февраль 2008 |
Январь 2008 |
Декабрь 2007 |
Ноябрь 2007 |
Октябрь 2007 |
Сентябрь 2007 |
Август 2007 |
Июль 2007 |
Июнь 2007 |
Май 2007 |
Апрель 2007 |
Март 2007 |
Февраль 2007 |
Январь 2007 |
Ноябрь 2006 |
Октябрь 2006 |
Сентябрь 2006 |
Август 2006 |
Июль 2006 |
Июнь 2006 |
Май 2006 |
Апрель 2006 |
Март 2006 |
Февраль 2006 |
Январь 2006 |
Декабрь 2005 |
Ноябрь 2005 |
Октябрь 2005 |
Сентябрь 2005 |
Август 2005 |
Июль 2005 |
Июнь 2005 |
Май 2005 |
Апрель 2005 |
Март 2005 |
Апрель 2004 |
Март 2004 |
Февраль 2004
ENG
версия
для печати
послать
другу
вверх
