Websecurity - Веб безпека

Учора RSnake знайшов Cross-Site Scripting уразливість в Google Apps. Про що він повідомив у своєму записі XSS Hole In Google Apps Is “Expected Behavior”.

Як він повідомив, Гугл несерйозно віднісся до його листа, і проігнорував дану уразливість, заявивши, що “це не баг, а фіча” (з подібним відношенням до безпеки мені іноді доводилось зтикатися). Тому він вирішив зробити full disclosure і опублікував детальну інформацію про дірку.

XSS:

• alert(’XSS’)

В своєму записі RSnake привів текст відповіді команди Гугла, які несерйозно віднеслися до попередження про дану уразливість. До речі, в коментарях до цього запису, Erwin опублікував текст відповіді на його листа, коли він повідомив про XSS дірку в Blogspot. Так там взагалі гумор , Гугл просто зажигає з такими відповідями (в стилі “це не баг, а фіча”). З подібними відповідями Гугла, у них є реальні проблеми з безпекою.

Я вже писав про те, що Гугл мляво відреагував на уразливості опубліковані мною в Month of Search Engines Bugs. Лише з часом, вони спромоглися виправити одну з трьох уразливостей.

This entry was posted on 23:39 18.08.2007 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.