Underc0de - Hacking y seguridad informática

[In]Seguridad Informática => Bugs y Exploits => Hacking ShowOff => Mensaje iniciado por: Fabián Cuchietti en Agosto 21, 2013, 03:27:39 pm

Título: Múltiples XSS en Google (sandboxed)
Publicado por: Fabián Cuchietti en Agosto 21, 2013, 03:27:39 pm
Resumen:

Google Sites , Google Producer , Google Swiffy, iGoogle, son vulnerables a Cross-site Scripting persistente y reflejado, El equipo de Seguridad de Google decidio almacenar la información de estos sitios en su sandbox, lo cual significa que es imposible explotar esta vulnerabilidad, es decir, robar la sesión de un usuario de Gmail. Si bien he decidido hacer una divulgación de datos por el simple motivo de que no es critico para ellos, y me parecio algo interesante que Google sufra de múltiples XSS


Detalles:

Servicio: Google Sites
Vulnerabilidad: Cross-site Scripting (stored)
URL: https://sites.google.com/site/prueba2013xss/
Captura:(http://4.bp.blogspot.com/-2oy6vb1xRzE/Ugz11_Hi-xI/AAAAAAAAAFo/gIuTRUYsN20/s1600/Google-sites.png)


Servicio: Google Producer
Vulnerabilidad: Cross-site Scripting (stored)
URL: http://www.google.com/producer
Captura: (http://1.bp.blogspot.com/-CB0GnCcPavo/Ugz2-AEE9dI/AAAAAAAAAF4/kFIDJGadjVw/s1600/google+producer.png)

Servicio: iGoogle
Vulnerabilidad: Cross-site Scripting (stored)
URL: http://www.google.com/ig
Captura:(http://3.bp.blogspot.com/-u7RxC2X0KL4/Ugz31e_yfaI/AAAAAAAAAGI/30ZGAfyNyp4/s1600/igoogle.png)

Servicio: Google Swiffy
Vulnerabilidad: Cross-site Scripting (self-xss)
URL: https://www.google.com/doubleclick/studio/swiffy/
Captura:(http://1.bp.blogspot.com/-d9YRd52faZc/Ugz3bqwrRhI/AAAAAAAAAGA/KdSGe5t-dF8/s1600/google+swiffity.png)


Post original: http://fabiancuchietti.blogspot.com.ar/2013/08/multiples-xss-en-google-sandboxed.html



Saludos.