Цієї неділі дослідник Айдан Вудс повідомив в свому блозі, що виявив вразливість на сторінці аутентифікації користувача Google.
В чому полягає вразливість?
На сторінці Google , на якій користувач повинен вводити свій логін є підтримуваний параметр continue, який може перенаправити коритувача на який небуть адрес (але тільки якщо він містить домен .google.com )після успішного введення даних.
Всього лиш?Як це взагалі можна вважати вразливістю?
Справа в тому , що якщо добавити до сторінки аутентифікації?continue=http://www.google.com/amp/tproger.ru то після вводу даних
користувача перенаправить на головну сторінку Tproger. Таким же чином можна перенаправляти користувача абсолютно на будь-яку сторінку в тому числі фішинговану. Наприклад користувача можна перенаправити на сторінку яка повідомить, що пароль введений не правильно, і попросить ввести данні знову, після вводу данні звичайно попадуть до злочинців. Таким же чином користувача можна заставити скачати шкідливий файл.
Чи планують в Google це виправляти?
В тому то і справа що ні! Айдан опублікував свою переписку з технічною службою Google. Йому відповіли, що компанія витрачає достатньо зусиль для інформування користувачів і тому ця особливість їх сторінки не буде вважатись вразливістю( і не буде виправлятись).Айдан передбачає, що розголос цієї “фічі” може заставити Google змінити свою позицію.
Автор: Taras Solodyak
Категорія: "WebSpirit"
Додано: 05.09.2016 04:32