Até a última terça (5 de maio), o Google era vulnerável a Cross-Site Scripting em um dos links de sua página de suporte. O risco apresentado pela falha aumenta inúmeras vezes por um fator: o site vulnerável estava no domínio principal (google.com). Como o google usa este domínio para autenticação de seus usuários em todos os seus serviços\sites, era possível obter informações pessoais, enviar seu cookie para um script na web, roubar sua lista de contatos, ver seus documentos no Google Docs, e até adicionar gadgets em seu Igoogle.
A falha foi reportada pelo autor do SecureThoughts.com, que se identifica por “Inferno”, no dia 18/04/2009. A Google respondeu em apenas uma hora, mas a correção foi publicada apenas no dia 05/05/2009.
O script vulnerável foi programado em python, tem o nome de answer.py e fica localizado em http://google.com/support/webmasters/bin/answer.py .
O script declarava uma variável em javascript com o valor passado na variável cbid. Apesar de filtrar caracteres como “ (aspas), (espaço), <, >, {, }, o script não filtrava ‘ (aspa única). Este caractere era o suficiente para finalizar a declaração da variavel e começar a escrever o código java-script a ser injetado. Abaixo, uma prova de conceito que era válida, que exibiria um alerta com seu cookie:
http://google.com/support/webmasters/bin/answer.py?answer=34575&cbid=-1oudgq5c3804g‘;alert(document.cookie);//&src=cb&lev=index
Maiores detalhes e outras provas de conceito podem ser vistas neste post (em inglês)
Fonte: SecureThoughts.com
Sou Gabriel Lima, estudante de análise e desenvolvimento de sistemas, e entusiasta da segurança da informação desde criança. Criei o Falando de Segurança com a intenção de compartilhar conhecimentos da área, através de video-posts demonstrando o uso de ferramentas, discutindo cenários, notícias, etc.
...Leia mais