Хакер #305. Многошаговые SQL-инъекции
Исследователь, обнаруживший более 40 уязвимостей на сайте YouTube, наконец получил ответ от администраторов Google.
Кристиан Маттис пытался добиться внимания компании в течении нескольких месяцев, но не получил ни одного ответа на свои письма о существующих уязвимостях. Лишь на этой неделе, после публикации ультиматума с угрозой публично раскрыть все уязвимости, если Google не прореагирует, он получил официальный ответ.
Большинство найденных уязвимостей связано с межсайтовым скриптингом (XSS), возможностью выполнения произвольного кода в броузере пользователя в контексте безопасности уязвимого сайта. С их помощью возможно создание самораспространяющихся червей или кража персональных данных пользователей.
"Иметь дыры в безопасности - это одно дело, но не реагировать на доклады об уязвимостях полностью недопустимо и не соответствует вашей приверженности безопасности", - пишет Маттис в своем послании. "Моя последняя попытка - я даю вам две недели для того, чтобы связаться со мной. Если этого не произойдет, я опубликую всю имеющуюся у меня информацию."
Конечно, после такого сообщения Google связалась с хакером и уверила его, что команда безопасности планирует исправить все ошибки в самом ближайшем времени. От дальнейших комментариев компания отказалась, заметив только, что призывает всех ответственно относиться к раскрытию подобного рода информации.
