Websecurity - Веб безпека

Як повідомив RSnake в своєму записі Internal Info Leak Via Google Calendar, в сервісі Google Calendar існує витік інформації.

Для пошуку конфеденційної інформації потрібно використати деякі google dorks в пошуці в Календарі Гугла. Дана методика зветься Гугл хакінг, і в даному випадку пошук ведеться не в головній пошуковій системі, а у внутрішньому пошуці в Календарі (для чого потрібно залогінитися в свій гугловський акаунт).

В пості RSnak’а, а також в коментарях, наводяться наступні дорки для пошуку важливої інформації: passcode intranet, password intranet та username password. Перші два вже не працюють (Гугл пофіксив), а ось останній ще працює (і деякі логіни та паролі користувачів можна знайти). Від себе запропоную дорк “login password”, котрий видає ще більше інформації ніж попередній .

Цікава уразливість в даному сервісі Google. Котра може бути використана для пошуку конфеденційної інформації про користувачів, а також для пошуку таких даних, як логіни та паролі. Гуглу потрібно зайнятися безпекою сервіса Calendar, як і інших своїх сервісів, зокрема Blogspot.

This entry was posted on 22:53 07.09.2007 and is filed under Новини сайту, Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.