[Αποκλειστικό] Detecção de fraqueza XSS no Google Translate por ExtAsY (?)

É provável que a fraqueza do XSS tenha sido identificada pelo Hacker ExtAsY grego no site do Google usado para traduções on-line (Google Translate).

Segundo as informações que a SecNews encontrou em um comentário de usuário do Facebook, o “controverso” para alguns ExtAsY, provando mais uma vez suas habilidades, parece ter identificado e anunciado uma fraqueza no site do conhecido mecanismo de busca. Os pontos fracos da categoria Cross Site Scripting (XSS) podem ser usados ​​pelos hackers para extrair cookies, representação, sob certas condições e até mesmo para redirecionar usuários. No Screenshot publicado, é claramente visível <…>

A fraqueza identificada pelo hacker grego, enquanto seu uso para novos ataques ainda não foi constatado. que tem um objetivo a cada vez.

Não está claro para a equipe editorial da SecNews como essa fraqueza específica identificada pelo ExtAsY pode ser usada. Esperamos que os leitores comentem o uso dessa vulnerabilidade, se possível.

A Captura de tela relevante que indica claramente a fraqueza é mostrada abaixo:

[Update 1: 6/12/2011 – 02:31] O Google informou a SecNews sobre a fraqueza do XSS mencionada em nosso artigo. Especificamente, em comunicado à SecNews, a empresa afirma que:

“Os resultados da tradução do Google são exibidos no domínio googleusercontent.com – fora do google.com. As tentativas de higienizar o conteúdo a ser traduzido podem potencialmente danificar o conteúdo, o layout ou a funcionalidade da página traduzida, portanto, nós o prestamos serviços de manutenção neste domínio, projetado especificamente para nunca armazenar dados confidenciais do usuário (por exemplo, cookies de autenticação). Portanto, não há impacto real do XSS fora do googleusercontent.com e acreditamos que esse comportamento intencional e não uma vulnerabilidade de segurança. ”

Portanto, o que é mencionado como um ponto fraco é um comportamento predeterminado, de acordo com o Google, pois permite que o código XSS seja executado no domínio googleusercontent.com por motivos de usabilidade e exibição ideal do conteúdo. Existem os pontos fracos do XSS, mas como são domínios em área restrita que não armazenam nomes de usuário, códigos de usuário etc., basicamente não há problemas de segurança de dados nesse domínio.