Обнаружена уязвимость в странице логина Google
В это воскресенье исследователь Айдан Вудс сообщил в своём блоге, что обнаружил уязвимость в странице аутентификации пользователя Google.
В чём заключается уязвимость?
У страницы Google, на которой пользователь должен вводить свой логин, есть поддерживаемый параметр continue, который может перенаправить пользователя на какой-либо адрес (но только если он содержит домен .google.com) после успешного ввода данных.
Всего-то? Как это вообще может считаться уязвимостью?
Дело в том, что если добавить к странице аутентификации ?continue=http://www.google.com/amp/tproger.ru, то после ввода данных пользователя перенаправит на главную страницу Tproger. Таким же образом можно перенаправлять пользователя абсолютно на любую страницу, в том числе фишинговую. Скажем, пользователя можно перенаправить на страницу, которая сообщит, что пароль введён неверно, и попросит ввести данные заново. После ввода данные конечно же попадут к злоумышленникам. Таким же образом пользователя можно заставить скачать вредноносный файл.
В Google будут это исправлять?
В том-то и дело, что нет. Айдан опубликовал свою переписку с технической поддержкой Google. Ему ответили, что компания тратит достаточно усилий на информирование пользователей о возможности фишинга, а потому эта особенность их страниц не будет считаться уязвимостью (и не будет исправляться). Айдан предполагает, что огласка этой “фичи” может заставить Google изменить свою позицию.
15К открытий15К показов
Проверьте свою способность находить уязвимости в игре МТС RED
Показали, как построить дашборд в Google Looker на базе логов Dialogflow.
Google Bard стал лучше решать математические задачи, лучше разбираться в кодинге и манипулировать строками с помощью неявного выполнения кода.
В пятом раунде батла за звание лучшего программиста в мире встретятся Павел Дуров и Бьёрн Страусберг, а также Сергей Брин и Андерс Гейлсберг.