Как Google Sites и Google Pages се поддават на злонамерен ъплоад
Когато на потребителите се дават привилегии от типа на директно редактиране на HTML кода или ъплоадване на файлове, проблемите със сигурността неминуемо ще възникнат. От това се възползват фишърите и недобронамерените автори, за да отмъкнат лична информация или да изложат на риск компютрите. По-надолу ще разкрием детайлите около настоящите злоупотреби с Google Sites, Google Pages и Blogger
Google позволява на потребителите си да ъплоадват файлове на техните сайтове или блогове. Google Sites от своя страна изглежда, че предотвратява ъплоадването на зловредни изпълними файлове, както се вижда от приложения пример след един подобен опит:
http://i.notrial.info/002/2077/google_1.png
Проверено е само разширението на файла, но не и неговия хедър, нито съдържание. Тоест ако разширението е променено на .jpg, файлът може да бъде подаден на потребителя със специален malware скрипт за сваляне . Тази възможност е илюстрирана по-долу като изпълнимите файлов започват с MZ хедър:
http://i.notrial.info/002/2077/google_2.png
От друга страна Google Pages позволява качването на изпълними файлове. Скрийншотът по-долу показва как тази функционалност е била използвана:
http://i.notrial.info/002/2077/google_5.png
Що се отнася до злонамерения скрипт Google Sites предотвратява вмъкването му, както се вижда от тук:
http://i.notrial.info/002/2077/google_6.png
Източник: Notrial.info
Публикации
Няма коментари:
Публикуване на коментар