Google security

[Korisnicko Ime]

Da, sa obzirom koliko svog vremena provedemo sa ovim gigantom bio bi red da se upoznamo i sa sigurno¹æu njegovih usluga:

1. Gmail CSRF & JSON Vuln

Pre izvesnog vremena (Januar 2006) otkriven je propust u Gmail-u, koji je omoguæavao pregled svih kontakta nekog gmail korisnika sledeæom akcijom:

- Po¹aljite email korisniku èije kontakte ¾elite da vidite, i u njemu stavite link ka Va¹oj stranici

- Na Va¹oj stranici u html kodu stavite sledeæi kod:

<script src="http://mail.google.com/mail/?_url_scrubbed_">

- Kada korisnik gmail-a poseti link, JavaScript æe sadr¾ati niz kontakta i posle je sve stvar ma¹te

Drugi, slièan propust je pronaðen 1. Januara ove godine, i on isto poseduje moguænost otkrivanja email adresa. Ovaj propust se razlikuje po metodi eksploatacije, prvi propust korsti CSRF metod dok drugi eksploati¹e call-back funkciju JSON-a (JavaScript Object Notation) u Google sistemu.

Primer koda:

<script src="http://docs.google.com/data/contacts?out=js&show=ALL&psort=Affinity&callback=google&max=99999">
</script>

2. XSS in Google’s Orkut

Google Orkut je socijalna mre¾a pokrenuta od strane Googla.

8. decembra 2006e je i ova Google igraèka, na trenutak, prestala da bude potpuno sigurna. Otkriven je XSS propust u "Invite" opciji tj "continue" parametru.

Primer koda: http://www.orkut.com/Invite.aspx?continue=javascript:alert(document.cookie)

3. Google XSS

Zanimljivo je da ekstremno te¹ko pronaæi propust u ogromnom Google mehanizmu, a jo¹ je zanimljivije videti takav neki propust:

XSS primer:

http://www.google.com/support/?hl=%27%29;alert%28String.fromCharCode%2888,83,83%29%29;//

Ako se poseti ovaj url, i posle toga se klikne na bilo koji link kao ¹to je npr: "Adwords" ili "Groups", izvr¹iæe se javascript koji je prosledjen u url-u.

Ovaj propust je objavljen 13. Decembra 2006e i ispravljen je posle par sati ...

4. Google Redirect Phishing Tool

Ako pogledate donji link primetiæete deo na kraju: "adurl=http://www.example.com", ovaj link se mo¾e zameniti sa bilo kojim linkom. Ovaj propust se mo¾e iskoristiti za obmanjivanje korisnika, tj redirekciju na phishing sajtove.

http://www.google.com/pagead/iclk?sa=l&ai=Br3ycNQz5Q-fXBJGSiQLU0eDSAueHkArnhtWZAu-FmQWgjlkQAxgFKAg4AEDKEUiFOVD-4r2f-P____8BoAGyqor_A8gBAZUCCapCCqkCxU7NLQH0sz4&num=5&adurl=http://www.example.com

Ovaj propust nije ispravljen jer ga Google oèigledno ne smatra propustom, a i ujedno mu donosi novac ... naravno ne sla¾em se sa ovim stavom.

Out:

Nadam se da su vam ovi primeri bili zanimljivi za èitanje i da ste shvatili da ne postoji 100% siguran sistem. Google mogu samo da pohvalim po svojoj sigurnosti jer toliko veliki sistem je te¹ko za¹titi a oni prilièno uspevaju u tome. Jo¹ jedna pohvala ide a¾urnosti prilikom ispravljanja propusta.

Ivan Markoviæ je expert za sigurnost web aplikacija. Svakodnevne zanimljivosti sa njegovih istra¾ivanja mo¾ete pratiti na security-net blogu.

B92