Первоапрельская шутка от Google серьезно ослабила защиту поисковика
Первоапрельская шутка с доменом com.google позволила злоумышленникам эксплуатировать уязвимость поисковой системы.
По мнению экспертов из компании Netcraft, первоапрельская шутка Google, когда все содержимое домена com.google (копии домашней страницы компании) отображалось вверх ногами провалилась . Специалисты Netcraft считают, что благодаря этому Google позволила злоумышленникам эксплуатировать уязвимость в поисковой системе.
Эксперты Netcraft отмечают, что шутка «разрушила важную функцию безопасности реальной домашней страницы Google и сделала ее уязвимой к кликджекингу». Проблема состояла в том, как домен com.google использовал плавающий фрейм. Обычно google.com применяет заголовок X-Frame-Options для того, чтобы предотвратить отображение других сайтов в плавающем фрейме. Однако для реализации шутки в Google решили обойти эту проблему, выставив параметр «igu=2», который не только позволяет отобразить все содержимое наоборот, но также дает серверу команду полностью упускать заголовок X-Frame-Options.
Злоумышленник мог бы эксплуатировать подобную уязвимость для того, чтобы отобразить страницу настроек поисковика Google на внешнем домене и заставить жертву изменить эти настройки. Среди таких настроек присутствует возможность включения безопасного поиска, а также выставление данных о местоположении. Netcraft сообщила об уязвимости Google, и поисковая компания оперативно устранила брешь.
Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!