В клиенте PHP API от Google обнаружена XSS-уязвимость

PHP API

Пользователям клиента PHP API от Google стоит опасаться фишинговых атак. Google пытается исправить уязвимость межсайтового скриптинга (XSS).

Что это за уязвимость?

Эта уязвимость была обнаружена специалистом из DefenseCode с помощью сканера ThunderScan. Google подтвердила наличие уязвимости и пообещала в скором времени исправить ее.

Преступник может использовать уязвимость, заставив администратора сайта пройти по специальной ссылке. После этого вредоносный JavaScript-код может быть выполнен с неограниченным доступом к сайту. Описываемая уязвимость содержится в функции $_SERVER['PHP_SELF'].

Специалист отметил:

Когда ничего не подозревающий пользователь посещает такой вредоносный URL-адрес, злоумышленник может отправить запросы на API от имени жертвы, используя JavaScript-код.

Дмитрий Юрченко, бог терминала

Ещё интересное для вас:
Тест: чьё это рабочее место? Угадываем айтишников по их столам
Тест: что вы знаете о работе мозга?
Тест: какой язык программирования вам стоит выбрать для изучения?

Вакансии в тему:

Urban Awards
PHP-разработчик
PHP-разработчик
Urban Awards, Москва, от 60 000 до 80 000 ₽
Dropwow
PHP-разработчик
PHP-разработчик
Dropwow, Москва, до 130 000 ₽