Googleサイトに存在したXSS脆弱性の説明。もう閉じられたらしい。
ha.ckers.org web application security lab - Archive サ Cross Site Scripting Vulnerability in Google
ちょっと探したら、GoogleでURLリダイレクションの攻撃[ポイント]もみつけた…実際にフィッシング攻撃者に1ヶ月近くも使われている。
GoogleがCSRFに対して保護されていない事は間違いない。
XML RPC (Ajax)コールをPOSTする事によって、/sendtophoneアプリケーションで他人の電話番号を盗む事もできるし、maps.google.comのミラー先を使って住所を盗むこともできる。
Leave a comment