JMiur [E]

Google soluciona un agujero de XSS que podría dar lugar a Phising

[25-02-2007] Si vemos un enlace que comienza por 'www.google.com', seguramente confíemos en él y hagamos click. Sin embargo, si ese link está expuesto a un ataque XSS (con el cual se pueden ejecutar, por ejemplo, redirecciones con JavaScript), es posible que alguien pueda intentar realizar acciones de Phishing y hacer creer al usuario que se encuentra en una página distinta a la que pueda imaginar al haber hecho click.

Esto es lo que ha ocurrido con las redirecciones de Google que os comentábamos hace algunos años. Hasta hace unas fechas, en un enlace como este se podía ejecutar código JavaScript malicioso que nos redireccionase a un sitio web, por ejemplo, pretendiendo robarnos datos personales. Sin embargo, desde hace unos días, no se efectúa una redirección instantánea, y sí se nos invita a hacer de nuevo click a otra nueva página, para avisarnos de la URL del nuevo sitio. Además, no se puede ejecutar determinados código, como por ejemplo éste, mostrándonos un mensaje de prohibición de acceso.

Sin embargo, como aseguran en este blog, otros servicios de Google siguen utilizando versiones no protegidas de este redireccionamiento, enviando instantáneamente a los usuarios a terceros sitios web sin realizar una advertencia antes de un segundo click (por ejemplo, este o este). Estos redireccionamientos, no obstante, parecen estar protegidos contra ataques XSS.


REFERENCIAS:

  • Google Dirson
  • Sin comentarios

    ¿Quiere dejar un comentario?

    recuerde que los comentarios están siendo moderados y serán publicados a la brevedad ...

    Nota: sólo los miembros de este blog pueden publicar comentarios.

    Si le gusta ir a lo seguro utilice este botón para abrir los comentarios en una ventana modal en esta misma pagina.

    Si añora tiempos idos, use este enlace para agregar un comentario al viejo estilo ...

     
    CERRAR