La historia de hoy viene de la mano de Mohit Kumar, fundador de The Hacker News. Según cuentan en la entrada en su página, Kumar reportó el 11 de Septiembre al programa de recompensas de Google una vulnerabilidad de Cross Site Scripting en el dominio googleusercontent.com a lo que el equipo de Google respondió que se trataba de un sandbox y no existían datos del usuario en él por lo que descartaron el aviso.
Un tiempo mas tarde, otro hacker búlgaro llamado Keeper contactó a Kumar para comentarle que la vulnerabilidad seguía activa y que tras avisar repetidas veces a Google no lo habían resuelto, por lo que Kumar optó por publicar su PoC de la vulnerabilidad para presionar a Google a corregirlo.
A coninuación podeis ver la POC:
- Página de phishing en Google aqui.
- El usuario llega a una página alojada en un dominio google.com/...
- Usando el XSS crea un popup para engañar a la víctima
- El formulario de login es creado con los servicios de Google apuntando a un servidor malicioso.
- Una vez el usuario introduce sus credenciales son enviados al atacante/aquí
0 comentarios:
Publicar un comentario