XSS en Google (lo que faltaba!)
Después del alboroto sobre el agujero de seguridad de Skype, apareció un Cross Site Scripting (XSS) en GoogleUserContent.com que permite a un atacante crear un sitio de phishing que se aloja en Google.com, o al menos uno que se parece a él. En otras palabras, las víctimas podrían ser engañadas para ingresasr sus datos verdaderos de la cuenta de Google, pensando que realmente están en Google.com.
De acuerdo con The Hacker News, la historia es un poco más complicada. Hace dos meses, Mohit Kumar descubrió una vulnerabilidad de XSS en el dominio de Google, escribió una prueba de concepto y la reportó a la empresa el 11 de septiembre.
Según Kumar, Google no se molestó por el tema y le informó que no era explotable. Por lo tanto tampoco le concedió su recompensa Kumar.
Para empeorar las cosas, ayer otro hacker búlgaro "Keeper" informó que la vulnerabilidad sigue activa, después de múltiples denuncias a Google. Los hackers crearon una página de phishing usando la falla de XSS persistente "para poder demostrar al mundo de que no se trata de un error menor".
Así es como se ve la página falsa:
Esto es sólo una prueba de concepto, pero realmente parece una página de acceso legítimo de Google alojada en el dominio de Google.com, pero en realidad es un sitio de phishing que roba las credenciales de acceso. Si bien no se brindan detalles, queda claro que el dominio Google.com está siendo abusado.
Cristian de la Redacción de Segu-Info
De acuerdo con The Hacker News, la historia es un poco más complicada. Hace dos meses, Mohit Kumar descubrió una vulnerabilidad de XSS en el dominio de Google, escribió una prueba de concepto y la reportó a la empresa el 11 de septiembre.
Según Kumar, Google no se molestó por el tema y le informó que no era explotable. Por lo tanto tampoco le concedió su recompensa Kumar.
Para empeorar las cosas, ayer otro hacker búlgaro "Keeper" informó que la vulnerabilidad sigue activa, después de múltiples denuncias a Google. Los hackers crearon una página de phishing usando la falla de XSS persistente "para poder demostrar al mundo de que no se trata de un error menor".
Así es como se ve la página falsa:
Esto es sólo una prueba de concepto, pero realmente parece una página de acceso legítimo de Google alojada en el dominio de Google.com, pero en realidad es un sitio de phishing que roba las credenciales de acceso. Si bien no se brindan detalles, queda claro que el dominio Google.com está siendo abusado.
Cristian de la Redacción de Segu-Info
Menuda cara tiene Google, aquí otro caso parecido:
ResponderBorrarhttp://twitter.com/sevikamil
google es un buscador muy rapido para usar y nos ayuda a bustar tareas e.t.c
ResponderBorrarsonia ledesma trejo