В клиенте PHP API от Google обнаружена XSS-уязвимость

PHP API

Пользователям клиента PHP API от Google стоит опасаться фишинговых атак. Google пытается исправить уязвимость межсайтового скриптинга (XSS).

Что это за уязвимость?

Эта уязвимость была обнаружена специалистом из DefenseCode с помощью сканера ThunderScan. Google подтвердила наличие уязвимости и пообещала в скором времени исправить ее.

Преступник может использовать уязвимость, заставив администратора сайта пройти по специальной ссылке. После этого вредоносный JavaScript-код может быть выполнен с неограниченным доступом к сайту. Описываемая уязвимость содержится в функции $_SERVER['PHP_SELF'].

Специалист отметил:

Когда ничего не подозревающий пользователь посещает такой вредоносный URL-адрес, злоумышленник может отправить запросы на API от имени жертвы, используя JavaScript-код.

Дмитрий Юрченко, бог терминала