Виммельбух, 2, перетяжка
Виммельбух, 2, перетяжка
Виммельбух, 2, перетяжка

Обнаружена уязвимость в странице логина Google

Новости Отредактировано

15К открытий15К показов

В это воскресенье исследователь Айдан Вудс сообщил в своём блоге, что обнаружил уязвимость в странице аутентификации пользователя Google.

В чём заключается уязвимость?

У страницы Google, на которой пользователь должен вводить свой логин, есть поддерживаемый параметр continue, который может перенаправить пользователя на какой-либо адрес (но только если он содержит домен .google.com) после успешного ввода данных.

Всего-то? Как это вообще может считаться уязвимостью?

Дело в том, что если добавить к странице аутентификации ?continue=http://www.google.com/amp/tproger.ru, то после ввода данных пользователя перенаправит на главную страницу Tproger. Таким же образом можно перенаправлять пользователя абсолютно на любую страницу, в том числе фишинговую. Скажем, пользователя можно перенаправить на страницу, которая сообщит, что пароль введён неверно, и попросит ввести данные заново. После ввода данные конечно же попадут к злоумышленникам. Таким же образом пользователя можно заставить скачать вредноносный файл.

В Google будут это исправлять?

В том-то и дело, что нет. Айдан опубликовал свою переписку с технической поддержкой Google. Ему ответили, что компания тратит достаточно усилий на информирование пользователей о возможности фишинга, а потому эта особенность их страниц не будет считаться уязвимостью (и не будет исправляться). Айдан предполагает, что огласка этой “фичи” может заставить Google изменить свою позицию.

Следите за новыми постами
Следите за новыми постами по любимым темам
15К открытий15К показов