Голосование




влажность:

давление:

ветер:

влажность:

давление:

ветер:

влажность:

давление:

ветер:

влажность:

давление:

ветер:

влажность:

давление:

ветер:



С помощью Google злоумышленники могут осуществлять фишинг-атаки

07 августа 2014

В настоящее время уязвимость еще не исправлена.

В понедельник, 4 августа 2014 года, исследователь под ником sec_d@rk опубликовал на сайте XSSposed.org подробности уязвимости в поисковом сервисе Google. Обнаруженная брешь может позволить злоумышленнику осуществить фишинг-атаку, используя сайт google.com. На момент написания новости уязвимость еще не была устранена.

Речь идет об уязвимости открытого перенаправления, которую часто используют злоумышленники для переадресации пользователя на поддельные сайты. В качестве примера эксплуатации исследователь предоставил следующий PoC-код:

https://www.google.com/search?source=www.xssposed.org&hl=www.xssposed.org&q=xssposed.org&btnG=www.xssposed.org&btnI=www.xssposed.org

Заменив адрес сайта, указанный в параметре &q=, а после замаскировав полный запрос с помощью сервиса сокращения ссылок наподобие bit.ly, злоумышленник сможет перенаправить пользователя на произвольный сайт.

Напомним, что ранее спамеры уже эксплуатировали  эту уязвимость для проведения атак на такие сайты, как Google, Yahoo! и AOL.

securitylab.ru

Источник: internetua.com

415

blog comments powered by Disqus

Интернет


Последние Популярные Коментируют

Темы форума