Milan Kryl

Kryl Blog - RSS

Zneužití Google chybou XSS

11. 01. 2006 - 16:57

Je tu další pokus o rhybaření přístupových údajů na účty PayPal a získání informací o kreditních kartách. Důvěřivý uživatel může podlehnout těmto trikům a prozradit své přihlašovací údaje nebo platební informace.

Zranitelnost Google

Google LogoBohužel i stránky Google jsou zranitelné k zneužití chyby XSS, která umožňuje podvržení stránek s cizím obsahem. Stránka vypadá jako originál, ale zadávané údaje jsou ukládány na servery útočníků.

Na stránkách serveru CastleCops lze najít ilustrační videozáznam (18 MB), který ukazuje cestu uživatele od přijetí emailu až po získání všech zajímavých údajů.

SecuriTeam zmiňuje druhou zranitelnost, která využívá kódování UTF-7 pro vložení nekorektního vstupu a získání možnosti spustit na straně serveru vlastní kód. Ačkoliv je na závěr uváděno, že byla zranitelnost napravena, autorovi videozáznamu jde stále zneužít.

CastleCops - PayPal Phishing Site Exploits Google XSS Vulnerability

 

Tip: Krátké zprávy a zajímavosti (rychlý přístup https://kryl.info/kratce)

Související