Gå till innehåll
brainslicer

Gmail-sårbarhet

Recommended Posts

http://sakerhet.idg.se/2.1070/1.216174/google-ignorerar-gmail-sarbarhet

 

Frustrerade säkerhetsforskare har publicerat detaljer om en Gmail-sårbarhet efter ett och halvt års fruktlös brevväxling med Google, som inte anser att sårbarheten behöver åtgärdas.

 

Säkerhetsforskaren Vicente Aguilera Diaz upptäckte den 30 juli 2007 en sårbarhet i den Gmail-funktion som låter användare ändra lösenord. Sårbarheten öppnar för angrepp via metoden cross-site-request-forgery och möjliggör för angripare att både kontrollera och ändra de lösenord som är kopplade till Gmail-konton.

 

Den 3 mars detta år har Isecauditor därför publicerat en så kallad proof-of-concept, en detaljerad beskrivning av sårbarheten, tillsammans med den kod som visar hur attacken kan genomföras.

 

Lyckas angreppet är det möjligt för en angripare att antingen passivt ta reda på offrets lösenord eller aktivt ändra det till ett eget godtyckligt val.

Länk till Gmail proof-of-concept

Källa: Seclists.org

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

verkar inte va lätt att använda(3/5 på severity skalan), men koden ligger ju ute nu så man får väl vara medveten om det iaf...

 

http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml?articleID=215800241

 

A Google spokesperson said the company hasn't heard of any such attacks in the wild, but is looking at ways to mitigate abuse of the CSRF flaw. "We've been aware of this report for some time, and we do not consider this case to be a significant vulnerability, since a successful exploit would require correctly guessing a user's password within the period that the user is visiting a potential attacker's site," the spokesperson said. "Despite the very low chance of guessing a password in this way, we will explore ways to further mitigate the issue. We always encourage users to choose strong passwords, and we have an indicator to help them do this."

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Kanns som att manga seriosa pokerspelare har sina pokeraccounts kopplade till Hushmail-account som dem bara har till poker etc.

 

Hushmail? Används det inte av personer som vill ha betalt med e-gold eller och sånt? :roll:

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Kanns som att manga seriosa pokerspelare har sina pokeraccounts kopplade till Hushmail-account som dem bara har till poker etc.

Jag har inte det. Berätta mer... Vad är fördelen med det gentemot exempelvis gmail?

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Gäst
Svara i detta ämne...

×   Du har klistrat in innehåll med formatering.   Ta bort formatering

  Endast 75 max uttryckssymboler är tillåtna.

×   Din länk har automatiskt bäddats in.   Visa som länk istället

×   Ditt tidigare innehåll har återställts.   Rensa redigerare

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Skapa nytt...