Odkrycie XSS w Google: Jak znalazłem lukę w Postini Header Analyzer

Odkrycie XSS w Google: Jak znalazłem lukę w Postini Header Analyzer

2015-02-06 08:10 Redakcja

Bezpieczeństwo w sieci to temat, który nigdy nie traci na aktualności. Ostatnio odkryłem błąd typu reflected XSS w domenie www.google.com, a konkretnie w aplikacji Postini Header Analyzer. To narzędzie, przejęte przez Google w 2007 roku, służy do filtrowania złośliwych wiadomości e-mail, ale skrywa również pewne tajemnice.

Moja podróż w poszukiwaniu podatności rozpoczęła się, gdy postanowiłem zbadać mniej znane strony Google. Przeszkody, które napotkałem, były liczne, ale po wielu próbach udało mi się stworzyć działający exploit, który nie wymagał interakcji użytkownika. Dzięki temu mogłem zademonstrować, jak łatwo można wykorzystać tę lukę.

Warto zwrócić uwagę, że nagłówki dodawane przez Postini, zaczynające się od “x-pstn-”, nie są łatwe do interpretacji, co czyni ten błąd jeszcze bardziej interesującym. Zachęcam wszystkich do zwracania uwagi na takie szczegóły, ponieważ mogą one prowadzić do poważnych naruszeń bezpieczeństwa.

Najnowsze wiadomosci ⚡📰

Nie przegap żadnego trendu, hacka ani dramy w świecie marketingu! 🧠
Mamy już ponad 155 000 artykułów i codziennie dorzucamy 50–100 nowych perełek z SEO, PR, social mediów, reklam, AI i brandingu. Do tego wywiady, nowe narzędzia pozwalające dowieźć wyniki i nutka prawa oraz bezpieczeństwa. Wszystko podane w starupowym sosie, który nigdy sie nie nudzi.
Zapisz się teraz, a Twoja skrzynka stanie się potężniejsza niż raporty z Analyticsa.