14-jarige vindt Javascript lek in Gmail
Een 14-jarige jongen genaamd Anthony heeft een lek in Google's Gmail gevonden. Via het lek zou een aanvaller e-mailadressen kunnen verzamelen of mogelijk zelfs het account over kunnen nemen. De tiener kwam achter het lek toen hij javacript code van zijn Yahoo account naar zijn Gmail account stuurde.
Volgens Google heeft men het lek al gedicht. De zoekgigant wijst er tevens op dat security onderzoekers lekken op een verstandige manier bekend moeten maken en eerst contact met Google moeten opnemen.
Jongens kom nou....
Spreken we hier nu echt over een _LEK_.... of een stukje
functionaliteit waar Google misschien iets makkelijk mee is
omgegaan....
Het is geen cross-site-scripting... T'is geen feitelijke
exploit...
In weze nix meer of minder dan een mogelijkheid om
javascript in email te gebruiken... Tja.... Hoeveel
webmail-apps zouden hier nog meer last van hebben?
door een simpele e-mail van een 14 jarige niet in hun hemd staan...
het nou echt gevonden had dan ok, maar hij kwam er per
toeval achter, leeftijd doet er niet toe dan.
Nou...als dit zo eenvoudig is dan kun je afvragen of alle
bobo's van Google
door een simpele e-mail van een 14 jarige niet in hun hemd
staan...
Je wilt niet weten hoeveel websites hiervoor vatbaar zijn.
google hier licht mee omgesprongen !
Het is geen cross-site-scripting... T'is geen feitelijke
exploit...
Want? Jij bent zijn broer of zo?
Hij heeft het erover dat hij erachter kwam nadat hij wat JS
naar zijn account gestuurd had. Als je JS gewoon in
plaintext in zijn mail verschenen zou zijn zou er niks aan
de hand zijn geweest lijkt me. Aangezien dit niet het geval
was lijkt het erop dat er toch wat JS heeft kunnen draaien.
Als dat al kan kan je al snel iets met XSS beginnen imho..
Het is geen cross-site-scripting... T'is geen feitelijke
exploit...
gmail website zelf, d'r is dus niets CSS aan. Gewoon een
stomiteit van Google dat ze het > en het < teken niet
vervangen door > / < . Dat doe ik standaard bij al
mijn apps om dit juist te voorkomen.
Je kan hiermee zeker wel gevaarlijke dingen doen, hij maakt
een JS die een paar goeie requests doet, en hij laat via JS
jou emailbox versturen waardoor hij al je contactpersonen heeft.
verwarring te voorkomen met CSS (Cascading Style Sheets)..
En het script wordt dus niet op de webserver uitgevoerd maar
lokaal in de browser. Dat maakt het wel degelijk een XSS..
verstandige manier bekend moeten maken en eerst contact met Google
moeten opnemen.
_________________________________________________________
lol dat zei zoiets moeten zeggen zegt toch al genoeg het is niet de
bedoeling dat wij de fouten voor jullie eruit gaan halen ...
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.