WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Lỗ hổng trên trang tìm kiếm Googe ngược ngày cá tháng tư
Vấn đề an ninh xuất hiện khi Google chuyển sang tên miền“com.google” vào ngày cá tháng tư (1/4) với một iframe cho phép nội dung hiển thị ngược.
Các tham số hướng dẫn máy chủ chuyển đến trang đã sửa đổi, tuy nhiên đồng thời lại khiến một header HTTP quan trọng bị bỏ qua, dẫn đến việc trang tìm kiếm bị chèn vào iframe của website bên thứ ba.
Kết quả là hacker có thể thêm một iframe cùng trang thiết lập tìm kiếm trên website của chúng, giả mạo như một thành phần an toàn nhằm lừa người dùng kích hoạt các thay đổi trên tùy chọn tìm kiếm của Google.
Nhà nghiên cứu tại Netcraft đã phát hiện ra lỗ hổng này khi kiểm tra phản hồi nhận được từ trang Google’s Search Settings và nhận thấy X-Frame-Optionsheader đã mất trên trang hiển thị các nội dung ngược.
Netcraft đã gửi cảnh báo tới Google và lỗi này đã được khắcphục.
Kết quả là hacker có thể thêm một iframe cùng trang thiết lập tìm kiếm trên website của chúng, giả mạo như một thành phần an toàn nhằm lừa người dùng kích hoạt các thay đổi trên tùy chọn tìm kiếm của Google.
Nhà nghiên cứu tại Netcraft đã phát hiện ra lỗ hổng này khi kiểm tra phản hồi nhận được từ trang Google’s Search Settings và nhận thấy X-Frame-Optionsheader đã mất trên trang hiển thị các nội dung ngược.
Netcraft đã gửi cảnh báo tới Google và lỗi này đã được khắcphục.
Nguồn: SoftPedia
Chỉnh sửa lần cuối bởi người điều hành: