|
|||||||
|
|
|
 |
|
|
Strumenti |
12-10-2008, 12:48
|
#1 |
|
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22121
|
[NEWS] Google: Falla di Cross-Domain Sharing
11 ottobre 2008 alle 19.58 di netquik
 Due ricercatori di sicurezza hanno segnalato alcune tecniche che mettono a nudo una vulnerabilità potenzialmente critica che affligge le applicazioni online di Google, come Gmail, e che mette gli utenti delle stesse a rischio di attacchi di eventuali malintenzionati. Adrian 'pagvac' Pastor, un ricercatore di sicurezza di GNUCitizen.org, ha pubblicato Venerdì scorso un codice proof-of-concept in grado di iniettare e visualizzare un pagina third-party (nell'esempio di Pastor una pagina di login fasulla), mentre la barra degli indirizzi del browser continua a mostrare il dominio di Google. Pastor spiega in breve questa tecnica di attacco: "L'attacker è riuscito a mostrare un pagina third-party non legittima, mentre il dominio legittimo (mail.google.com in questo caso) viene mostrato nella barra degli indirizzi. Il vantaggio degli attacchi di frame injection è che l'attacker è in grado di impersonare una entità sicura senza dover bypassare i filtri XSS/HTML e neanche violare il server target". Nel PoC di Pastor una vulnerabilità di frame injection in Google Images viene sfruttata per iniettare un pagina fasulla di login per Gmail. Google Gmail risulta quindi vulnerabile ad un attacco di "frame injection" che potrebbe essere utilizzato per rubare le credenziali di accesso agli utenti. Nel contempo, sempre Venerdì scorso, il popolare ricercatore di sicurezza Aviv Raff ha segnalato una seria vulnerabilità che affligge Google.com, descritta come una "cross-domain web-application sharing security design flaw". Raff evidenzia che esistono numerose applicazioni web di Google accessibili su diversi sottodomini di google.com: Google Maps (maps.google.com), Google Mail (mail.google.com), Google Images (images.google.com), Google News (news.google.com), Google.com (Google Search, Google Accounts, Google Apps, Google History, etc.). Raff spiega: "Allora, esistono diversi modi per sfruttare questa falla di design di sicurezza cross-domain di sharing delle applicazioni web. Per esempio, una piccola problematica XSS in Google Maps potrebbe ora essere sfruttata per eseguire hijack di account Google, Gmail o Google Apps, bypassando la Same Origin Policy del browser. Esistono diversi problemi XSS segnati in passato, su alcuni dei sottodomini google.com, che sono ora stati corretti". Lo stesso Raff menziona il codice PoC di Pastor come esempio di attacco contro questa "cross-domain web-application sharing flaw" con lo scopo ultimo di convincere le vittime ad inserire le loro credenziali di accesso su una pagina fasulla che tuttavia appare come legittima essendo caricata nel sottodominio mail.google.com. Secondo Raff, Google era a conoscenza della problematica da Aprile scorso. Un portavoce del colosso della ricerca commenta: "Siamo a conoscenza del potenziale di questo tipo di comportamento quando i servizi sono ospitati su domini multipli, e faremo in modo di limitarlo dove riteniamo che possa avere conseguenze sulla sicurezza". Link per approfondimenti: Report di Pastor @ GNUCitizen.org Report di Raff Fonti: varie via http://www.tweakness.net/news/4759Tweakness
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
|
|
|
13-10-2008, 10:28
|
#2 |
|
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22121
|
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 15:28.
