GoogH0le

Semakin menakutkan saja aktivitas dari para researcher web security, saat ini mereka mulai membuktikan bahwa jenis serangan XSS bukan hal yang sepele. Mereka berhasil membuktikan bahwa XSS mampu meng-eksploitasi aplikasi-aplikasi google, bagi yang berminat untuk mengetahui lebih jauh bisa membaca pada blog nya Giorgio Maone di sini. Dari link tersebut kita juga dapat mencoba POC untuk eksploitasi google, namun seperti nya sekarang ini sudah di blok oleh google dan diganti dengan halaman lain :(.

Disamping jenis hole yang dijelaskan oleh Giorgio Maone pada blog nya, bagian lain dari kelompok GNUCITIZEN juga ikut meramaikan proses eksploitasi pada GMail dengan memanfaatkan hole CSRF (Cross-Site Request Forgery), hole ini dapat digunakan untuk menanam ‘backdoor’ pada account GMail target pada bagian filtering email, dimana hasil nya semua email atau email-email dengan kriteria tertentu yang di tujukan pada target akan di forward ke email penyerang, trik nya sederhana tapi sangat cerdik. Tepat seperti yang disebutkan pada blog tersebut, tidak dibutuhkan untuk pwned box target…dengan melakukan pwned pada mailbox nya maka bisa jauh lebih menakutkan hasil nya (full-disclose dari informasi pribadi, login/password bankin, login/password hosting, dll).

Backdooring pada pada GMail ini diceritakan secara singkat pada blog nya eno7. Oh ya, Firefox with Noscript is still our friend to avoid this ;).