Уразливості на www.google.com
23:56 26.09.2009У січні, 31.01.2009, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості на сайті https://www.google.com (в формі для створення акаунта Gmail).
Дані уразливості подібні до уразливостей на www.youtube.com (іншому проекті Google).
Abuse of Functionality:
На сторінці реєстрації https://www.google.com/accounts/NewAccount ?service=mail функція check availability, яка призначена для перевірки чи вільний даний логін, дозволяє дізнатися логіни користувачів в системі (Gmail).
Insufficient Anti-automation:
Враховучи, що дана функція немає захисту від автоматизованих атак, це дозволяє проводити автоматизоване виявлення логінів користувачів Gmail. Що може бути зроблено за допомогою брутфорсерів логінів, зокрема, моєї програми Brute force login identifier.
В подальшому виявлені логіни можуть бути використані для визначення паролів користувачів сайта.
Неділя, 02:39 27.09.2009
Браво, только перечитывал Ваши статьи в хакере и решил зайти на Ваш сайт, поражен тем, что я по идее первый это увидел) Если не тяжело, откликнитесь пожалуйста на мою почту, хотел бы спросить Вашего совета по одному делу. С ув, Вячеслав
Неділя, 19:11 27.09.2009
Вячеслав, вы о чём, об этой статье об уязвимостях на сайте Гугла? Рад, что она вам понравилась.
Письмо на ваш емайл я уже написал.