Tehnopolis

Utorak, 09.01.2007.

14:37

Google security

Google, mehanizam bez kojeg je teško opstati na mreži. Globalni servis koji svakog dana svakome on nas završava mnogo posla. Servis u koji imamo možda i previše poverenja?

Autor: Ivan Marković

Default images

Da, sa obzirom koliko svog vremena provedemo sa ovim gigantom bio bi red da se upoznamo i sa sigurnošću njegovih usluga:

1. Gmail CSRF & JSON Vuln

Pre izvesnog vremena (Januar 2006) otkriven je propust u Gmail-u, koji je omogućavao pregled svih kontakta nekog gmail korisnika sledećom akcijom:

- Pošaljite email korisniku čije kontakte želite da vidite, i u njemu stavite link ka Vašoj stranici

- Na Vašoj stranici u html kodu stavite sledeći kod:

<script src="http://mail.google.com/mail/?_url_scrubbed_">

- Kada korisnik gmail-a poseti link, JavaScript će sadržati niz kontakta i posle je sve stvar mašte

Drugi, sličan propust je pronađen 1. Januara ove godine, i on isto poseduje mogućnost otkrivanja email adresa. Ovaj propust se razlikuje po metodi eksploatacije, prvi propust korsti CSRF metod dok drugi eksploatiše call-back funkciju JSON-a (JavaScript Object Notation) u Google sistemu.

Primer koda:

<script src="http://docs.google.com/data/contacts?out=js&show=ALL&psort=Affinity&callback=

google&max=99999"></script>

2. XSS in Google’s Orkut

Google Orkut je socijalna mreža pokrenuta od strane Googla.

8. decembra 2006e je i ova Google igračka, na trenutak, prestala da bude potpuno sigurna. Otkriven je XSS propust u "Invite" opciji tj "continue" parametru.

Primer koda: Orkut

3. Google XSS

Zanimljivo je da ekstremno teško pronaći propust u ogromnom Google mehanizmu, a još je zanimljivije videti takav neki propust:

XSS primer:

Google

Ako se poseti ovaj url, i posle toga se klikne na bilo koji link kao što je npr: "Adwords" ili "Groups", izvršiće se javascript koji je prosledjen u url-u.

Ovaj propust je objavljen 13. Decembra 2006e i ispravljen je posle par sati ...

4. Google Redirect Phishing Tool

Ako pogledate donji link primetićete deo na kraju: "adurl=http://www.example.com", ovaj link se može zameniti sa bilo kojim linkom. Ovaj propust se može iskoristiti za obmanjivanje korisnika, tj redirekciju na phishing sajtove.

Google

Ovaj propust nije ispravljen jer ga Google očigledno ne smatra propustom, a i ujedno mu donosi novac ... naravno ne slažem se sa ovim stavom.

Out:

Nadam se da su vam ovi primeri bili zanimljivi za čitanje i da ste shvatili da ne postoji 100% siguran sistem. Google mogu samo da pohvalim po svojoj sigurnosti jer toliko veliki sistem je teško zaštiti a oni prilično uspevaju u tome. Još jedna pohvala ide ažurnosti prilikom ispravljanja propusta.

Ivan Marković je expert za sigurnost web aplikacija. Svakodnevne zanimljivosti sa njegovih istraživanja možete pratiti na security-net blogu.

Ovo je arhivirana verzija originalne stranice. Izvinjavamo se ukoliko, usled tehničkih ograničenja, stranica i njen sadržaj ne odgovaraju originalnoj verziji.

Komentari 1

Pogledaj komentare

1 Komentari

Možda vas zanima

Podeli: