Ayer nos han informado de que la forma de programas Bug Bounty puede jugar injusto con los hackers y los investigadores, donde los hackers están presentando sus conclusiones legítimas de las empresas y la sorpresa no si están recibiendo respuestas que " Alguien ya se ha informado de esto, usted no es elegible para la Bounty ". Pero el principal problema es, si las empresas son realmente conscientes de la cuestión , ¿por qué no lo han fijado todavía?
Hoy vamos a hablar acerca de Google, que cómo una vulnerabilidad ignorada puede ser brillantemente diseñada y explotada por los hackers para phishing usuarios.
El 11 de septiembre de este año, me han informado de una vulnerabilidad XSS persistente en Google y la respuesta de Google Security Team, fue: " Parece que el XSS que reportó en realidad se ejecuta en uno de los dominios de espacio aislado (googleusercontent.com). El dominio de espacio aislado no contiene las cookies de sesión para los servicios de Google, ni tienen acceso a los datos de Google.com "
Me dijo que está bien si está seguro de lo que no es explotable y en un dominio de espacio aislado entonces conversación ha terminado. Ahora, después de dos meses ayer otro hacker búlgaro va por su nombre " Guardián "me informan de que la vulnerabilidad sigue trabajando incluso después de múltiples presentaciones a Google. Ahora me sorprendí al ver que equipo de Google ¿Cómo puede ser tan serio acerca de la seguridad de sus usuarios.
Pido hackers búlgaro para elaborar una página de phishing usando este script de sitio permanente, por lo que podemos mostrar una demo que, scripting entre sitios no sólo es un error menor, si creativamente explotados. Así lo hizo y que aprovechara la vulnerabilidad de Google que fue ignorada por el propio Google desde hace 2 meses.
Enlace de la página de phishing elaborado en el dominio de Google y Explotación de XSS - Haga clic aquí
Esta página de phishing se aloja en el dominio mismo entorno limitado, pero su Google.com y suficiente para hacer un phishing perfecto. Espero que, ahora equipo de Google arreglarlo lo antes posible tras la comunicación abierta con la demostración. Update: Un representante de Google rápidamente responder sobre el tema y les defensa propia diciendo que " ¿No podemos usar para phishing "debido a su alojada en un host independiente nombre. Preguntas de los lectores: No se puede buscar en Google ver la URL en el navegador que su "Google.com/-----", potencialmente suficiente para phishing. Por definición: Phishing es engañar a los usuarios a creer que están en la página web a la derecha, y el demostración con éxito demostró esto. Google también dijo que la celebración de este tipo de contenido en los servicios de Google está violando sus servicios. Pero tenga en cuenta que nosotros ya seguir el camino de no divulgación hace dos meses y su tiempo para tomar medidas para corregir el error. La revelación de esta forma de explotación sólo estamos tratando de ayudar a la empresa, advirtiendo a los lectores a tener en cuenta acerca de los ataques de phishing tipo. Respecto a equipo de Google!
Fuente.
No hay comentarios:
Publicar un comentario