В Gmail найдена серьезная уязвимость

Петко Петков (Petko Petkov), участник хакерской организации GNU Citizen, рассказал миру о серьезной уязвимости в Gmail. Он даже опубликовал в блоге скриншоты того, как именно происходит взлом. Оказывается, на сайт можно внедрить специальный код — и все его посетители, авторизованные в Gmail, окажутся в опасности.

Подобный тип взлома называется «межсайтовая подмена запроса» (cross-site request forgery, CSRF). Сайт злоумышленников посылает на Gmail команду multipart/form-date POST (как назывет ее Петков) и с ее помощью настраивается копирование всех писем с атакованного почтового ящика на адрес хакеров. Причем, копируются как вновь приходящие письма, так и старые (если они хранятся в веб-ящике Gmail). Даже когда Google устранит уязвимость, фильтр будет пересылать сообщения до тех пор, пока остается в списке.

[читать дальше]