SAFE. Guía para proteger tu vida digital y tu privacidad

26 sept 2007

Colección de vulnerabilidades XSS en aplicaciones de Google

Aunque la presencia de vulnerabilidades XSS en las aplicaciones de Google no sea algo nuevo (se han descubierto multitud de ellas durante los últimos años: [1], [2], [3], [4], [5], [6]), y aunque incluso internamente se haya creado una herramienta propia para su detección, muchos servicios de Google siguen dejando ver estos agujeros de seguridad, que pueden hacer por ejemplo que un atacante se haga con las cookies de un usuario.

Estos últimos días han aparecido un buen número de ellas, las cuales han sido recopiladas en este post de Kriptopolis. Quizá la más grave sea esta, puesto que permitía hacerse con el control de una cuenta de Gmail, y a partir de ahí con la cuenta de usuario de Google y toda su información relacionada (cuentas de correo, conversaciones de chat, documentos, calendarios, cuenta bancaria, historial de búsquedas, contenidos de Disco Duro si utiliza 'Google Desktop', ...)

Otra vulnerabilidad XSS es la que se comenta ha.ckers.org, que está presente en los buscadores web públicos de algunos organismos creados con el 'Google Search Appliance' y que se puede ver por ejemplo en este enlace.

También se mencionan otras dos vulnerabilidades XSS ([1], [2]) dentro de las páginas de Picasa Web y las que utilizan el software instalable de Urchin.

Fuente: http://google.dirson.com/post/3632-coleccion-vulnerabilidades-xss-aplicaciones/



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!