IPB

Здравейте ( Вход | Регистрация )

 
Reply to this topicStart new topic
> Web 2.0 - злоупотреба с функционалността, NoTrial.info
Fixer
коментар Jul 1 2008, 14:04
Коментар #1


Най-голям български ESET фен

Група: Глобален Модер
Коментари: 2,522
Регнат: 15-December 06
Пол: Мъж






Как Google Sites и Google Pages се поддават на злонамерен ъплоад

Когато на потребителите се дават привилегии от типа на директно редактиране на HTML кода или ъплоадване на файлове, проблемите със сигурността неминуемо ще възникнат. От това се възползват фишърите и недобронамерените автори, за да отмъкнат лична информация или да изложат на риск компютрите. По-надолу ще разкрием детайлите около настоящите злоупотреби с Google Sites, Google Pages и Blogger

Google позволява на потребителите си да ъплоадват файлове на техните сайтове или блогове. Google Sites от своя страна изглежда, че предотвратява ъплоадването на зловредни изпълними файлове, както се вижда от приложения пример след един подобен опит:



Проверено е само разширението на файла, но не и неговия хедър, нито съдържание. Тоест ако разширението е променено на .jpg, файлът може да бъде подаден на потребителя със специален malware скрипт за сваляне . Тази възможност е илюстрирана по-долу като изпълнимите файлов започват с MZ хедър:



От друга страна Google Pages позволява качването на изпълними файлове. Скрийншотът по-долу показва как тази функционалност е била използвана:



Що се отнася до злонамерения скрипт Google Sites предотвратява вмъкването му, както се вижда от тук:



До сега Google не е бил хакван, но се оказва, че приложенията му са твърде податливи на ъплоадване на злонамерени кодове или файлове.
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
2 потребител(и) четат тази тема (2 гости и 0 скрити)
0 Потребител(и):

 



- Елате в .: BGtop.net :. Топ класацията на българските сайтове и гласувайте за този сайт!!! Олекотена версия

Сега е: 15th September 2019 - 10:36