Исследователь смог обойти механизмы защиты в Google AdSense

image

Теги: Google, реклама, безопасность

С помощью XSS-атаки и вредоносного сценария исследователю удалось получить прямой URL рекламного материала.

Профессор Мадридского университета Комплутенсе (Complutense University of Madrid), доктор Мануэль Бласкез (Manuel Blazquez) нашел способ обхода механизма защиты от вредоносной рекламы в Google AdSense. Как сообщает исследователь на сайте Arxiv.org, ошибки на сайте AdSense позволяют осуществить XSS-атаку, после чего злоумышленник сможет загрузить на ресурс вредоносную рекламу.

Механизм защиты в AdSense представлен в виде сценария JavaScript show_ads.js. Когда любой ресурс, использующий рекламный инструмент от Google, загружает сценарий, AdSense генерирует два фрейма iframe: первый запускает проверки безопасности и защищает второй iframe, который отображает саму рекламу.

Злоумышленник может добавить в исходный код целевого сайта специально сформированную форму и с ее помощью сохранить URL второго фрейма iframe. После этого становится возможным создать сценарий JavaScript, который извлекал бы URL рекламы в обход механизма защиты.

Бласкез разместил на YouTube пример обхода механизма безопасности в AdSense. Помимо этого, специалист также опубликовал PoC-код данной уязвимости на своем сайте.