Google łata XSS-y w GMailu – Co to oznacza dla użytkowników?

Google łata XSS-y w GMailu – Co to oznacza dla użytkowników?

2012-06-14 07:45 Redakcja

W ramach programu bug-bounty, Google usunęło trzy istotne luki XSS w GMailu, które zostały zgłoszone przez Nilsa Juenemanna. Te błędy mogły stanowić poważne zagrożenie dla bezpieczeństwa użytkowników.

Pierwszy z naprawionych błędów to persistent XSS, który wykorzystywał odpowiednio skonstruowany URL jako wektor ataku. Aby go wykorzystać, napastnik potrzebował ID użytkownika, które mogło zostać wyciągnięte z nagłówka referer poprzez wysłanie spreparowanego e-maila w HTML.

Pozostałe dwa błędy dotyczyły DOM-based XSS – jeden był persistent, a drugi reflected. Oba błędy występowały w mobilnej wersji GMaila i mogły być wykorzystane do wstrzykiwania złośliwego kodu.

Zastanawiasz się, jaka jest różnica między reflected DOM-based XSS a persistent XSS? Szukasz sposobów na zabezpieczenie swoich aplikacji webowych przed tymi atakami? Warto zgłębić temat!

Najnowsze wiadomosci ⚡📰

Nie przegap żadnego trendu, hacka ani dramy w świecie marketingu! 🧠
Mamy już ponad 155 000 artykułów i codziennie dorzucamy 50–100 nowych perełek z SEO, PR, social mediów, reklam, AI i brandingu. Do tego wywiady, nowe narzędzia pozwalające dowieźć wyniki i nutka prawa oraz bezpieczeństwa. Wszystko podane w starupowym sosie, który nigdy sie nie nudzi.
Zapisz się teraz, a Twoja skrzynka stanie się potężniejsza niż raporty z Analyticsa.