В клиенте PHP API от Google обнаружена XSS-уязвимость

Пользователям клиента PHP API от Google стоит опасаться фишинговых атак. Google пытается исправить уязвимость межсайтового скриптинга (XSS).

Что это за уязвимость?

Эта уязвимость была обнаружена специалистом из DefenseCode с помощью сканера ThunderScan. Google подтвердила наличие уязвимости и пообещала в скором времени исправить ее.

Преступник может использовать уязвимость, заставив администратора сайта пройти по специальной ссылке. После этого вредоносный JavaScript-код может быть выполнен с неограниченным доступом к сайту. Описываемая уязвимость содержится в функции $_SERVER['PHP_SELF'].

Специалист отметил:

Когда ничего не подозревающий пользователь посещает такой вредоносный URL-адрес, злоумышленник может отправить запросы на API от имени жертвы, используя JavaScript-код.

Вакансии в тему:

Лого компании «CallKeeper»
PHP-разработчик
PHP-разработчик
CallKeeper, Москва, от 70 000 до 110 000 ₽
Лого компании «CallKeeper»
VoIP-разработчик
VoIP-разработчик
CallKeeper, Москва, от 80 000 до 120 000 ₽
Лого компании «12Go Asia»
PHP-разработчик
PHP-разработчик
12Go Asia, от 1 500 до 2 500 $ (до налогов)