Наверх
Меню
Новости
Статьи
twitter
Новости Internet
23 апреля 2015
453
  Первоапрельская шутка от Google серьезно ослабила защиту поисковика  
 
Первоапрельская шутка от Google серьезно ослабила защиту поисковика
Первоапрельская шутка с доменом com.google позволила злоумышленникам эксплуатировать уязвимость поисковой системы. По мнению экспертов из компании Netcraft, первоапрельская шутка Google, когда все содержимое домена com.google (копии домашней страницы компании) отображалось вверх ногами провалилась. Специалисты Netcraft считают, что благодаря этому Google позволила злоумышленникам эксплуатировать уязвимость в поисковой системе.

Эксперты Netcraft отмечают, что шутка «разрушила важную функцию безопасности реальной домашней страницы Google и сделала ее уязвимой к кликджекингу». Проблема состояла в том, как домен com.google использовал плавающий фрейм. Обычно google.com применяет заголовок X-Frame-Options для того, чтобы предотвратить отображение других сайтов в плавающем фрейме. Однако для реализации шутки в Google решили обойти эту проблему, выставив параметр «igu=2», который не только позволяет отобразить все содержимое наоборот, но также дает серверу команду полностью упускать заголовок X-Frame-Options.

Злоумышленник мог бы эксплуатировать подобную уязвимость для того, чтобы отобразить страницу настроек поисковика Google на внешнем домене и заставить жертву изменить эти настройки. Среди таких настроек присутствует возможность включения безопасного поиска, а также выставление данных о местоположении. Netcraft сообщила об уязвимости Google, и поисковая компания оперативно устранила брешь.


  Источник: securitylab.ru
 



Поделиться с друзьями:


Другие новости по теме
 
Вы не авторизованный пользователь. Чтобы воспользоваться всеми возможностями сайта, зарегистрируйтесь.
 

Комментарии

Добавление комментария
Ваше имя
Ваш Email
Код Включите эту картинку для отображения кода безопасности
обновить код
Введите код