Gentili utenti vi informiamo che il team di MyTech si è spostato sul canale Hitech & Scienza di Panorama.it

      non hai uno username? regìstrati   /   recupera la password

apple / google / microsoft
web

Connessioni / Next / Search / Sicurezza / Social

Archivio » 2008 » aprile » venerdì 18 »

Come ti rubo tutto su Google Apps

bug google google apps script xss

Scritto da Guido Sintoni

Bookmark and Share

Articoli correlati

Problemi in vista per Google Apps, la suite online di Big G per la produttività personale erogata via Web: un ricercatore ha scoperto un bug nell’applicazione Foglio Elettronico che può consegnare su un piatto d’argento tutti i dati di un account Google a un attaccante.

Il problema è comune a molte applicazioni che hanno a che fare con il Web, e si chiama cross-site scripting: è l’inserimento di script arbitrari all’interno delle pagine Web visionate dai client. Il bug in sé è stato già corretto da Google, ma - secondo Billy Rios che ha scoperto il problema - “questo è un indicatore molto chiaro dei pericoli legati al concetto di Saas, software come servizio“.

 

Continua Rios nel proprio blog: “Con questo singolo attacco di tipo cross-site scripting, posso leggere la posta della vittima su Gmail […] o rubare tutti i suoi Google Docs e fondamentalmente fare tutto ciò che voglio, sostituendomi alla vittima stessa sull’account Google. Gli sviluppatori devono capire il modo in cui i browser trattano le intestazioni dei vari contenuti che elaborano, altrimenti rischiano di esporre le proprie applicazioni Web al rischio di cross-site scripting”. Rios ha infatti sfruttato il modo in cui Internet Explorer interpreta le risposte dei server Web remoti per trarre in inganno il browser Web e veicolare in tal modo via Web gli script arbitrari; e “Firefox, Opera e Safari possono funzionare nello stesso modo”. Quindi, il problema non è nell’interprete, ovvero nel browser Web, ma in chi scrive le applicazioni.

Rios ha portato a buon fine il proprio attacco sul Foglio Elettronico di Google Apps iniettando codice Html nella prima cella di una tabella, contenente codice Javascript in grado di visualizzare il cookie di sessione dell’utente collegato: “A dire il vero, Google ha previsto una lieve difesa contro questo tipo di attacco, ma è bastato poco per aggirarlo”. Non è la prima volta che il ricercatore statunitense trova un bug relativo a Google Apps: all’inizio del mese Rios ha pubblicato un bug di Google Code che poteva permettere il furto di password. E anche quest’ultimo ha trovato pronta correzione da parte di Google.

Commenti   (Inserisci un commento)

Ancora nessun commento.

Effettua il login

« Nasce Gis4eu, l'Europa si regala la geografia "unita"

Paypal mette al bando i browser "non sicuri" »

IBM

Il Service Management secondo IBM

Scopri i servizi nell'era delle risorse più intelligenti.
Scarica il WhitePaper sul Service Management

Panorama Economy Made in Italy

Più letti

Più commentati

Ultimi commenti

I Tutorial di Mytech