Gmail a rischio sicurezza per colpa di un documento xml

L’insieme di una vulnerabilità XSS in Google Groups e un documento XML utilizzato per l’intregrazione tra Gmail e Google Groups può permettere ad un attaccante, tramite una URL costruita ad hoc di rubare:

  • il token di autenticazione a Gmail
  • il nome e l’indirizzo e-mail di tutti i contatti di Gmail

Non è per niente sicuro esporre pubblicamente un documento di quel tipo; ogni nuovo XSS scoperto all’interno di google.com (a causa delle restrizioni del Cross-Domain Restrictions) potrebbe essere usato per rubare in maniera completamente trasparente i dati dell’utente.
Nell’esempio pratico fornito dall’autore viene utilizzato proprio un XSS, ancora funzionante, segnalato su sla.ckers.org.
Per maggiori informazioni consiglio la lettura dell’articolo originale.

 

Nessun Commento.. Puoi essere il primo!

Lascia un Commento