Google Dökümanterlerinde XSS Güvenlik Açığı
Internet devi Google’ın da güvenlik açıkları var. Güvenlik uzmanı Billy Rios tarafından keşfedilen güvenlik açığı, Google’ın spreadsheets hizmetinde bulunuyor.
Google Spreadsheets hizmeti üzerinde yapılan cross site scripting saldırısı neticesinde ortaya çıkan çerezlerin (cookies) çalınması ve değiştirilerek Google’ın ciddi servislerine erişmenin mümkün olmasını sağlıyor.
Daha önce saldırgan tarafından hazırlanan dökümanın içine gömülen Html yada JavaScript kodları sayesinde hizmeti kullanan kullanıcıların çerez bilgilerinin kaydedilmesi de mümkün. Bu çerez bilgileri de dönüştürücüler sayesinde text tabanlı CSV dosyasına dönüştürülerek internet Explorer ‘da HTML olarak görüntülenebiliyor. Hazırlanan dökümanı açan herkesin çerez bilgileri, hazırlayan saldırgana gidiyor. Güvenlik açığından yararlanarak kurbanların bilgilerini alan saldırganlar, en kritiği Gmail olmak üzere bir çok Google servisine atak saldırılar düzenleyip, kişisel bilgileri ele geçirebiliyor.
Bill Rios kendi kişisel blog’unda bahsettiği güvenlik açığını Google’a ihbar ettiğini ve Google’ın güvenlik açığından haberdar olduğunu söylüyor.
Peki nasil korunacağız ?
# Gmail'lerin potansiyel tehlikede olduğunu düşünürsek, bilmediğimiz yabancı adreslerden gelen Linklere tıklamayacağız. Şüphelenmemek gibi bir lüksümüz söz konusu olmaması gerekir.
# XSS kodları yeni yada profesyonel bir çok hacker tarafından rahatca yazılıp kullanılabildiği için güvenlik açığının kullanılabilirlik oranı oldukça yüksek durumda. Ve bir çok hacking, exploit sitelerinde dağıtılmış ve duyurulmuş olduğu da bir gerçek. Bu-da saldırı potansiyelini artırıyor. Uyanık olmak gerekli.
