- PVSM.RU - https://www.pvsm.ru -

Твит об XSS-баге в Google+ привёл к XSS на сайте издания InformationWeek

Независимый исследователь в области интернет-безопасности Нильс Джунеманн специализируется на поиске уязвимостей в сервисах Google, получая за это вознаграждение по программе Vulnerability Reward Program [1]. За последнее время он нашёл множество уязвимостей во всех основных продуктах Google и неплохо заработал. 27 апреля Нильс опубликовал в своём блоге сообщение [2] с описанием последней находки — XSS-уязвимости в Google+, вознаграждение за которую он пожертвовал на строительство школы в Эфиопии.

В статье Джунеманна был указан и конкретный код, который вызывает ошибку в Google+: нужно завести профиль под именем "><img src=x onerror=prompt(1);>.

Твит об XSS баге в Google+ привёл к XSS на сайте издания InformationWeek

История о том, что дыры в Google помогают строить школы для африканских детей, тронула сердца коллег, и известный хакер Чарли Миллер опубликовал у себя ретвит [3] — а дальше произошло интересное.

Издание InformationWeek ведёт «авторскую рубрику» Чарли Миллера, публикуя ссылки из его твитов. Сегодня ночью в эту рубрику попало и сообщение в блоге Джунеманна. К несчастью, редакторы издания вставили в текст страницы и тот злосчастный код. Как результат, на сайте InformationWeek проявился такой же баг, что и на Google+ (ссылка [4], скриншот [5])

Твит об XSS баге в Google+ привёл к XSS на сайте издания InformationWeek

Автор: alizar


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/6561

Ссылки в тексте:

[1] Vulnerability Reward Program: http://www.google.com/about/company/rewardprogram.html

[2] сообщение: http://www.nilsjuenemann.de/2012/04/ethiopia-gets-new-school-thanks-to-xss.html

[3] ретвит: https://twitter.com/#!/0xcharlie/status/196014895785967617

[4] ссылка: http://www.informationweek.com/influencer/security/616a45777252657276506c6830533652356a525737513d3d

[5] скриншот: http://4.bp.blogspot.com/-NpKxQ5ChexI/T51zKSp8pJI/AAAAAAAAEqE/a7olb4A8yUY/s1600/xss-information-week.png