Твит об XSS-баге в Google+ привёл к XSS на сайте издания InformationWeek

в 8:27, , рубрики: xss, информационная безопасность, Медиа, метки: ,

Независимый исследователь в области интернет-безопасности Нильс Джунеманн специализируется на поиске уязвимостей в сервисах Google, получая за это вознаграждение по программе Vulnerability Reward Program. За последнее время он нашёл множество уязвимостей во всех основных продуктах Google и неплохо заработал. 27 апреля Нильс опубликовал в своём блоге сообщение с описанием последней находки — XSS-уязвимости в Google+, вознаграждение за которую он пожертвовал на строительство школы в Эфиопии.

В статье Джунеманна был указан и конкретный код, который вызывает ошибку в Google+: нужно завести профиль под именем "><img src=x onerror=prompt(1);>.

Твит об XSS баге в Google+ привёл к XSS на сайте издания InformationWeek

История о том, что дыры в Google помогают строить школы для африканских детей, тронула сердца коллег, и известный хакер Чарли Миллер опубликовал у себя ретвит — а дальше произошло интересное.

Издание InformationWeek ведёт «авторскую рубрику» Чарли Миллера, публикуя ссылки из его твитов. Сегодня ночью в эту рубрику попало и сообщение в блоге Джунеманна. К несчастью, редакторы издания вставили в текст страницы и тот злосчастный код. Как результат, на сайте InformationWeek проявился такой же баг, что и на Google+ (ссылка, скриншот)

Твит об XSS баге в Google+ привёл к XSS на сайте издания InformationWeek

Автор: alizar

Поделиться

* - обязательные к заполнению поля