"Vulnerabilidad" en Google

Iniciado por R41N-W4R3, 29 Marzo 2011, 12:21 PM

0 Miembros y 1 Visitante están viendo este tema.

R41N-W4R3

Investigadores del grupo (CeSeNA) han encontrado una interesante "vulnerabilidad" en google:

Como puede verse en la captura de pantalla es posible mostrar una imagen (en este caso el logo de CanalSeguro) sobre la caja de búsqueda de Google.

La Url que se debe formar para conseguirlo es:

http://www.google.com/custom?hl=en&cof=L%3Ahttp://www.informaticanova.com/images/stories/seguridad/canalseguro/logocanalseguroresiz.jpg&btnG=Search

La "vulnerabilidad" aparece porque la variable cof no esta correctamente filtrada.

La noticia completa esta en: http://www.canalseguro.net/inicio/item/20-vulnerabilidad-en-google

Relacionado : https://foro.elhacker.net/noticias/google_actualiza_chrome_para_solucionar_seis_fallos_de_seguridad_graves-t323145.0.html

#!drvy

Enserio cuando entre creí que por fin avían conseguido algo realmente serio....y me encuentro con esto...pues vaya vulnerabilidad xDDDDDD

Es la búsqueda personalizada de Google, normal que te deje poner una imagen ahí arriba....



Saludos

Akai

drvy | BSM, puede no parecer serio, pero fallos "tontos" como estos, muchas veces terminan en XSS BRUTALES.

Tyrz

No veo como sacar un XSS de ahí. Está filtrado, simplemente pones tu foto en tu google personalizado...

Seguramente esté equivocado pero no veo la gravedad
Web dedicada por completo al surf. Hablamos de tablas de surf, videos de surf, fotos, juegos y mucha información sobre como aprender a surfear, spots famosos como mundaka, pipeline y zonas como vizcaya, surf españa, sopelana y mucho más. Trucos y peligros del surf. A que esperas? Entra en  Surf

Jake Logan

Don't let the door hit your ass on your way out.


Akai

Cita de: Tyrz en 29 Marzo 2011, 14:22 PM
No veo como sacar un XSS de ahí. Está filtrado, simplemente pones tu foto en tu google personalizado...

Seguramente esté equivocado pero no veo la gravedad

No, no estás equivocado, y no tiene apenas gravedad. Pero un fallo de ese estilo en otros parámetros si provoca esos XSS

#!drvy

@Akai, claro y estoy acuerdo contigo pero yo me refería a este caso en especifico. No creo que Google lo haya hecho sin querer. De hecho tiene filtro.

Yo creo que el autor de la noticia (al que realmente escribió la noticia) debería de verlo comprobado antes de hacer un copy paste.


Saludos

sirdarckcat

Que tonteria de vulnerabilidad.. xD

Cuando alguien encuentre una de adeveras mandela a security@google.com y les damos unos cuantos cientos/miles de dolares ;-)

Saludos

Nakp

Ojo por ojo, y el mundo acabará ciego.

#!drvy

Tu si que estas bug Nakp xD



Saludos