Stfw.RuВ понедельник, 4 августа 2014 года, исследователь под ником sec_d@rk опубликовал на сайте XSSposed.org подробности уязвимости в поисковом сервисе Google. Обнаруженная брешь может позволить злоумышленнику осуществить фишинг-атаку, используя сайт google.com. На момент написания новости уязвимость еще не была устранена.
Речь идет об уязвимости открытого перенаправления, которую часто используют злоумышленники для переадресации пользователя на поддельные сайты. В качестве примера эксплуатации исследователь предоставил следующий PoC-код:
https://www.google.com/search?source=www.xssposed.org&hl=www.xssposed.org&q=xssposed.org&btnG=www.xssposed.org&btnI=www.xssposed.org
Заменив адрес сайта, указанный в параметре &q=, а после замаскировав полный запрос с помощью сервиса сокращения ссылок наподобие bit.ly, злоумышленник сможет перенаправить пользователя на произвольный сайт.
Напомним, что ранее спамеры уже эксплуатировали эту уязвимость для проведения атак на такие сайты, как Google, Yahoo! и AOL.
