Vulnerabilità XSS in Google Docs.

By al0ha Giugno 18, 2007 Post a comment

La vulnerabilità colpisce il sistema di filtri anti XSS di Google che proteggono i suoi utenti da iniezioni di codice HTML malizioso in questo caso il servizio colpito è Google Docs. Questo tipo di vulnerabilità sono presenti nella maggiorparte dei siti con editors WYSIWYG (what you see is what you get).

Falle come questa sono exploitabili anche attraverso l’injection di un iframe.

Lo scopritore della vulnerabilità Hong dice in una mail:

Ho trovato un buco nei filtri anti XSS di Google Docs non sa come lavori la textarea,Se iniettiamo il seguente codice nel documento:

<textarea><a href=" http://www.site.com/
</textarea><script>alert('xss')</script>"></textarea>

I filtri XSS di Google non filtrano lo script: <script>alert(’xss’)</script> dovuto al fatto che sono incapsultati all’interno dei tag html . Ma nei fatti il browser tratta <a href=”http://www.site.com/ come se fosse semplice testo dentro la textarea, poi esegue il codice.

Eccone un esempio.

Google è terrorizzata dal fatto che questo genere di bug possono essere presenti in molti altri servizi da loro offerti.

Si spera che Google corregga il bug quanto prima.

..

Via ha.ckers.org

  • Print this article!
  • Digg
  • Sphinn
  • del.icio.us
  • Facebook
  • Google Bookmarks
  • Technotizie
  • FriendFeed
  • IndianPad
  • Live
  • Netvibes
  • Netvouz
  • NewsVine
  • Reddit
  • Segnalo
  • Slashdot
  • StumbleUpon
  • Twitter
  • Yahoo! Bookmarks

Commenti

  1. Un commento su “Vulnerabilità XSS in Google Docs.”

  1. Sono già passati due giorni dalla segnalazione di RSnake, chissà quanto ci metteranno prima di riparare

    Posted by Gianni Amato | Giugno 19, 2007, 02:02

Inserisci un commento