Thông tin đáng chú ý trong ngày hôm nay là cảnh báo về lỗ hổng Persistent XSS của Google được phát đi bởi Mohit Kumar, chủ biên của trang The Hacker News. [1]
Theo đó thì vào ngày 11/9/2012, Mohit đã gửi thông báo về một lỗ hổng Persistent XSS có trong Google và được bộ phận Google Security Team phản hồi rằng lỗi XSS đó thực ra chỉ khai thác được trên một trong các domain bị giới hạn và kiểm soát nghiêm ngặt (sandboxed domain) ví dự như googleusercontent.com. “Sandboxed domain” đó không chứa các session ID của cookie cho bất kỳ dịch vụ nào của Google. Nói cách khác, nó không giúp truy cập tới bất kỳ dữ liệu nào của Google.com.
Tưởng chừng như mọi chuyện sẽ được Google giải quyết êm đẹp thế nhưng cho tới lúc này tức là đã hơn 2 tháng trôi qua thì lỗi đó vẫn thực sự vẫn làm việc tốt. Điều này được một hacker người Bulgari có biệt danh là Keeper phát hiện và anh ta đã thử tạo một trang đăng nhập Gmail giả mạo lợi dụng lỗ hổng XSS trên để đánh lừa người dùng.
Dưới đây là liên kết và hình ảnh để chứng minh lỗ hổng này thực sự là một vấn đề khá nghiêm trọng mà Google cần nhanh chóng khắc phục:
[+] Demo lỗi XSS của Mohit vào ngày 11/9
http://www.google.com/ig/directory?dpos=top&root=/ig&url=news.thehackernews.com/thn.xml
[+] Demo lỗi XSS của Keeper vào ngày 13/11
http://www.google.com/ig/directory?...s/file/116774377668678157889/Google_Login.xml
Trang giả mạo được đặt trong một sandbox domain là gmodules.com nhưng domain chính vẫn là google.com cũng đủ khiến người dùng dễ bị mắc lừa.
Nguy cơ dính XSS trong các sandbox domain đã được Google xem xét và lỗi này không được tính để trao giải thường cho các hacker tìm ra.
Theo đó thì vào ngày 11/9/2012, Mohit đã gửi thông báo về một lỗ hổng Persistent XSS có trong Google và được bộ phận Google Security Team phản hồi rằng lỗi XSS đó thực ra chỉ khai thác được trên một trong các domain bị giới hạn và kiểm soát nghiêm ngặt (sandboxed domain) ví dự như googleusercontent.com. “Sandboxed domain” đó không chứa các session ID của cookie cho bất kỳ dịch vụ nào của Google. Nói cách khác, nó không giúp truy cập tới bất kỳ dữ liệu nào của Google.com.
Tưởng chừng như mọi chuyện sẽ được Google giải quyết êm đẹp thế nhưng cho tới lúc này tức là đã hơn 2 tháng trôi qua thì lỗi đó vẫn thực sự vẫn làm việc tốt. Điều này được một hacker người Bulgari có biệt danh là Keeper phát hiện và anh ta đã thử tạo một trang đăng nhập Gmail giả mạo lợi dụng lỗ hổng XSS trên để đánh lừa người dùng.
Dưới đây là liên kết và hình ảnh để chứng minh lỗ hổng này thực sự là một vấn đề khá nghiêm trọng mà Google cần nhanh chóng khắc phục:
[+] Demo lỗi XSS của Mohit vào ngày 11/9
http://www.google.com/ig/directory?dpos=top&root=/ig&url=news.thehackernews.com/thn.xml
[+] Demo lỗi XSS của Keeper vào ngày 13/11
http://www.google.com/ig/directory?...s/file/116774377668678157889/Google_Login.xml
Trang giả mạo được đặt trong một sandbox domain là gmodules.com nhưng domain chính vẫn là google.com cũng đủ khiến người dùng dễ bị mắc lừa.
Nguy cơ dính XSS trong các sandbox domain đã được Google xem xét và lỗi này không được tính để trao giải thường cho các hacker tìm ra.