Da, sa obzirom koliko svog vremena provedemo sa ovim gigantom bio bi red da se upoznamo i sa sigurno¹æu njegovih usluga:
1. Gmail CSRF & JSON Vuln
Pre izvesnog vremena (Januar 2006) otkriven je propust u Gmail-u, koji je omoguæavao pregled svih kontakta nekog gmail korisnika sledeæom akcijom:
- Po¹aljite email korisniku èije kontakte ¾elite da vidite, i u njemu stavite link ka Va¹oj stranici
- Na Va¹oj stranici u html kodu stavite sledeæi kod:
<script src="http://mail.google.com/mail/?_url_scrubbed_">
- Kada korisnik gmail-a poseti link, JavaScript æe sadr¾ati niz kontakta i posle je sve stvar ma¹te
Drugi, slièan propust je pronaðen 1. Januara ove godine, i on isto poseduje moguænost otkrivanja email adresa. Ovaj propust se razlikuje po metodi eksploatacije, prvi propust korsti CSRF metod dok drugi eksploati¹e call-back funkciju JSON-a (JavaScript Object Notation) u Google sistemu.
Primer koda:
<script src="http://docs.google.com/data/contacts?out=js&show=ALL&psort=Affinity&callback=google&max=99999">
</script>
2. XSS in Google’s Orkut
Google Orkut je socijalna mre¾a pokrenuta od strane Googla.
8. decembra 2006e je i ova Google igraèka, na trenutak, prestala da bude potpuno sigurna. Otkriven je XSS propust u "Invite" opciji tj "continue" parametru.
Primer koda: http://www.orkut.com/Invite.aspx?continue=javascript:alert(document.cookie)
3. Google XSS
Zanimljivo je da ekstremno te¹ko pronaæi propust u ogromnom Google mehanizmu, a jo¹ je zanimljivije videti takav neki propust:
XSS primer:
http://www.google.com/support/?hl=%27%29;alert%28String.fromCharCode%2888,83,83%29%29;//
Ako se poseti ovaj url, i posle toga se klikne na bilo koji link kao ¹to je npr: "Adwords" ili "Groups", izvr¹iæe se javascript koji je prosledjen u url-u.
Ovaj propust je objavljen 13. Decembra 2006e i ispravljen je posle par sati ...
4. Google Redirect Phishing Tool
Ako pogledate donji link primetiæete deo na kraju: "adurl=http://www.example.com", ovaj link se mo¾e zameniti sa bilo kojim linkom. Ovaj propust se mo¾e iskoristiti za obmanjivanje korisnika, tj redirekciju na phishing sajtove.
http://www.google.com/pagead/iclk?sa=l&ai=Br3ycNQz5Q-fXBJGSiQLU0eDSAueHkArnhtWZAu-FmQWgjlkQAxgFKAg4AEDKEUiFOVD-4r2f-P____8BoAGyqor_A8gBAZUCCapCCqkCxU7NLQH0sz4&num=5&adurl=http://www.example.com
Ovaj propust nije ispravljen jer ga Google oèigledno ne smatra propustom, a i ujedno mu donosi novac ... naravno ne sla¾em se sa ovim stavom.
Out:
Nadam se da su vam ovi primeri bili zanimljivi za èitanje i da ste shvatili da ne postoji 100% siguran sistem. Google mogu samo da pohvalim po svojoj sigurnosti jer toliko veliki sistem je te¹ko za¹titi a oni prilièno uspevaju u tome. Jo¹ jedna pohvala ide a¾urnosti prilikom ispravljanja propusta.
Ivan Markoviæ je expert za sigurnost web aplikacija. Svakodnevne zanimljivosti sa njegovih istra¾ivanja mo¾ete pratiti na security-net blogu.
B92