banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Trash Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google  XML
  [News]   Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google 15/11/2012 01:48:29 (+0700) | #1 | 270994
[Avatar]
manthang
Journalist

[Minus]    0    [Plus]
Joined: 30/06/2008 16:36:58
Messages: 140
Offline
[Profile] [PM] [WWW]
Một thông tin đáng chú ý trong ngày hôm nay là cảnh báo về lỗ hổng Persistent XSS của Google được phát đi bởi Mohit Kumar, chủ biên của trang The Hacker News. [1]

Theo đó thì vào ngày 11/9/2012, Mohit đã gửi thông báo về một lỗ hổng Persistent XSS có trong Google và được bộ phận Google Security Team phản hồi rằng lỗi XSS đó thực ra chỉ khai thác được trên một trong các domain bị giới hạn và kiểm soát nghiêm ngặt (sandboxed domain) ví dự như googleusercontent.com. “Sandboxed domain” đó không chứa các session ID của cookie cho bất kỳ dịch vụ nào của Google. Nói cách khác, nó không giúp truy cập tới bất kỳ dữ liệu nào của Google.com.

Tưởng chừng như mọi chuyện sẽ được Google giải quyết êm đẹp thế nhưng cho tới lúc này tức là đã hơn 2 tháng trôi qua thì lỗi đó vẫn thực sự vẫn làm việc tốt. Điều này được một hacker người Bulgari có biệt danh là Keeper phát hiện và anh ta đã thử tạo một trang đăng nhập Gmail giả mạo lợi dụng lỗ hổng XSS trên để đánh lừa người dùng.

Dưới đây là liên kết và hình ảnh để chứng minh lỗ hổng này thực sự là một vấn đề khá nghiêm trọng mà Google cần nhanh chóng khắc phục:

[img]http://2.bp.blogspot.com/-Ezc_IffZHck/UKPH5GxGk9I/AAAAAAAANWs/B0sDL6oXGJM/s640/Creatively+using+Google+persistent+XSS+vulnerability+for+phishing.png[/img]

[+] Demo lỗi XSS của Mohit vào ngày 11/9
http://www.google.com/ig/directory?dpos=top&root=/ig&url=news.thehackernews.com/thn.xml

[+] Demo lỗi XSS của Keeper vào ngày 13/11
http://www.google.com/ig/directory?url=hosting.gmodules.com/ig/gadgets/file/116774377668678157889/Google_Login.xml

Trang giả mạo được đặt trong một sandbox domain là gmodules.com nhưng domain chính vẫn là google.com cũng đủ khiến người dùng dễ bị mắc lừa.

Nguy cơ dính XSS trong các sandbox domain đã được Google xem xét và lỗi này không được tính để trao giải thường cho các hacker tìm ra. [2]

manthang - HVA News
(Theo TheHackerNews)


Tham khảo:
[1] http://thehackernews.com/2012/11/exploiting-google-persistent-xss.html
[2] http://www.google.com/about/appsecurity/reward-program/
keep -security- in -mind-
[Up] [Print Copy]
  [News]   Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google 15/11/2012 11:43:53 (+0700) | #2 | 271002
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
Đây không phải là lỗi bảo mật gì cả, chẳng qua là một tính năng bị lợi dụng để có thể lừa gạt người dùng. Bây giờ nhìn vào cái trang này:

http://www.google.com/ig/directory?url=hosting.gmodules.com/ig/gadgets/file/116774377668678157889/Google_Login.xml

Phần phía dưới có ghi rõ thế này:


Most of the content in this directory was developed by Google users. Google makes no representations about its performance, quality, or content. Google doesn't charge for inclusion in this directory or accept payment for better placement.
 


Đương nhiên nếu ai không nhìn kỹ thì vẫn có thể bị lừa, nhưng mà nếu họ đã không nhìn kỹ rồi thì ở đâu họ cũng sẽ bị lừa cả thôi.

-m

PS: đừng bao giờ tìm và gửi những lỗ hổng như thế này, nếu không muốn bị hạ uy tín.
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [News]   Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google 15/11/2012 12:36:46 (+0700) | #3 | 271006
[Avatar]
manthang
Journalist

[Minus]    0    [Plus]
Joined: 30/06/2008 16:36:58
Messages: 140
Offline
[Profile] [PM] [WWW]
Cảm ơn phản hồi của anh mrro, em sẽ chú ý kỹ hơn trước khi gửi tin.

Bản thân mình không nhìn ra cái dòng thông báo đó của Google. Chỉ coi trong URL để đăng nhập vào Google account nếu không phải là https và domain accounts.google.com thì chắc chắn là fake login page.
keep -security- in -mind-
[Up] [Print Copy]
  [News]   Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google 15/11/2012 12:55:22 (+0700) | #4 | 271007
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

mrro wrote:
Đây không phải là lỗi bảo mật gì cả, chẳng qua là một tính năng bị lợi dụng để có thể lừa gạt người dùng. Bây giờ nhìn vào cái trang này:

http://www.google.com/ig/directory?url=hosting.gmodules.com/ig/gadgets/file/116774377668678157889/Google_Login.xml

Phần phía dưới có ghi rõ thế này:


Most of the content in this directory was developed by Google users. Google makes no representations about its performance, quality, or content. Google doesn't charge for inclusion in this directory or accept payment for better placement.
 


Đương nhiên nếu ai không nhìn kỹ thì vẫn có thể bị lừa, nhưng mà nếu họ đã không nhìn kỹ rồi thì ở đâu họ cũng sẽ bị lừa cả thôi.

-m

PS: đừng bao giờ tìm và gửi những lỗ hổng như thế này, nếu không muốn bị hạ uy tín. 


Tôi có phần không đồng tình với lão mrro ở các phát biểu trên.

Dù rằng đây là một tính năng được lợi dụng chứ không phải một lỗi XSS hoàn chỉnh, nhưng nó đem lại hệ quả tương đương, một script đã có thể được thực thi trong trình duyệt của người dùng với URL vẫn thuộc Google.com , việc nội dung trang

http://www.google.com/ig/directory?dpos=top&root=/ig&url=news.thehackernews.com/thn.xml  


có thể bị thay đổi để làm người dùng ( End-user ) lầm lẫn dẫn tới xảy ra kiểu tấn công Phishing là điều hoàn toàn có thể. Mặt khác, điều khiến user trên thế giới ( THN là trang tin có lượt truy cập tới từ toàn cầu ) khi đọc tin này là việc Google được thông báo trước đến 2 tháng và hoàn toàn không sửa lỗi này cho đến khi bài báo trên được phổ rộng.

còn về quan điểm

Đương nhiên nếu ai không nhìn kỹ thì vẫn có thể bị lừa, nhưng mà nếu họ đã không nhìn kỹ rồi thì ở đâu họ cũng sẽ bị lừa cả thôi. 


Có phần giống các báo VN hay kêu gọi "Hãy là người tiêu dùng thông minh", trong khi rất tiếc là Google đáng nhẽ với trách nhiệm của mình khi được thông báo, nên là "nhà cung cấp dịch vụ thông minh" tránh cho người dùng buộc phải thông minh, khi người dùng đã và đang gián tiếp ( cũng như trực tiếp ) chi trả cho hoạt động của Google

vấn đề cuối là với phát biểu này

PS: đừng bao giờ tìm và gửi những lỗ hổng như thế này, nếu không muốn bị hạ uy tín. 


Tôi hy vọng là tôi không hiểu sai ý của lão, nếu có thì thành thật cho tôi xin lỗi và rút lại các điều tôi nói sau đây.
Lỗi này dù gì đi nữa vẫn có thể gây hại tới người dùng do đó việc đưa tin về nó là cần thiết. Mặc cho lỗi này có mức độ gây hại tới đâu, một khi nó có sự gây hại hoặc khả năng gây hại tới người dùng, thì để người dùng trở thành một "người tiêu dùng thông minh" họ cần được thông báo để gia tăng sự cẩn trọng

Trân trọng,

Ghi chú:
Hiện google đã sửa điểm yếu này ngày hôm nay

Demo tại link

http://www.google.com/ig/directory?url=hosting.gmodules.com/ig/gadgets/file/116774377668678157889/Google_Login.xml
và link
http://www.google.com/ig/directory?dpos=top&root=/ig&url=news.thehackernews.com/thn.xml

Hôm qua vẫn hoạt động, hôm nay đã được sửa
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [News]   Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google 15/11/2012 22:08:48 (+0700) | #5 | 271038
[Avatar]
gamma95
Researcher

Joined: 20/05/2003 07:15:41
Messages: 1377
Location: aaa">
Offline
[Profile] [PM] [ICQ]
Ngày xưa có 1 thread trên fulldisclosure cãi nhau về vấn đề là open wwwect thì có trong top ten owasp, nhưng khi chương trình bug bounty của google đc mở ra thì google reject tất cả những bug kiểu này. Cá nhận mình cũng thấy đây là hợp lý. Michał Zalewski có nói đại ý là "Nếu người dùng nào bị lừa bởi những trò phishing kiểu này thì sớm hay muộn họ cũng dễ bị hack bởi một trò lừa tào lao kiểu khác".
PS: blogspot nó cho owner post javascript thoải mái trong bài viết mà, nhưng mà trong comment thì ko guest post à nha smilie, đố biết tại sao =]]
Cánh chym không mỏi
lol
[Up] [Print Copy]
  [News]   Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google 16/11/2012 05:28:09 (+0700) | #6 | 271041
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]

xnohat wrote:

Dù rằng đây là một tính năng được lợi dụng chứ không phải một lỗi XSS hoàn chỉnh, nhưng nó đem lại hệ quả tương đương, một script đã có thể được thực thi trong trình duyệt của người dùng với URL vẫn thuộc Google.com, việc nội dung trang có thể bị thay đổi để làm người dùng ( End-user ) lầm lẫn dẫn tới xảy ra kiểu tấn công Phishing là điều hoàn toàn có thể. Mặt khác, điều khiến user trên thế giới ( THN là trang tin có lượt truy cập tới từ toàn cầu ) khi đọc tin này là việc Google được thông báo trước đến 2 tháng và hoàn toàn không sửa lỗi này cho đến khi bài báo trên được phổ rộng.

 


Chữ "hệ quả tương đương" cần phải xem lại. Đây không phải là một lỗi XSS. Nó không phải là một lỗ hổng bảo mật gì cả. Đây là một dạng lợi dụng dịch vụ iGoogle để đánh lừa người khác.

Trang đó không bị thay đổi, mà nó được thiết kế để cho phép người dùng hiển thị gadget. Nói cách khác, nó là dạng "working as intended", là feature chứ không phải là bug.

Google không sửa vì đây không phải là lỗi bảo mật. Không phải là sau khi anh này báo lỗi thì Google đã sửa, mà họ chỉ xoá cái gadget đó đi mà thôi, vì nó vi phạm điều khoản sử dụng dịch vụ.

Đọc thêm cái này:

http://techcrunch.com/2012/11/14/the-difference-between-a-vulnerability-and-a-moron-using-google-services-trying-to-phish-your-password/

xnohat wrote:

Có phần giống các báo VN hay kêu gọi "Hãy là người tiêu dùng thông minh", trong khi rất tiếc là Google đáng nhẽ với trách nhiệm của mình khi được thông báo, nên là "nhà cung cấp dịch vụ thông minh" tránh cho người dùng buộc phải thông minh, khi người dùng đã và đang gián tiếp ( cũng như trực tiếp ) chi trả cho hoạt động của Google
 


Không hiểu anh đang muốn nói gì.

Google là một trong những hãng quan tâm nhất đến sự an toàn của người dùng. Đã có nhiều ví dụ về chuyện này, như tốc độ sửa lỗi của Chrome. Những ai từng gửi lỗi đến Google cũng biết cách họ xử lý thế nào cho những vấn đề thật sự là lỗi.

Điều mà tôi nói ở trên cũng không có liên quan gì đến việc người dùng có phải thông minh hay không. Google không bỏ đi tính năng này vì họ thấy rằng lý do "trang này được đặt ở www.google.com nên xác suất thành công của nó trong việc phishing sẽ cao hơn" không thuyết phục. Chưa có bằng chứng nào ủng hộ cho cái kết luận đó cả. Anh có bằng chứng nào không? Sự thật là cho đến nay chưa ai bị phished trên iGoogle cả.

xnohat wrote:

Tôi hy vọng là tôi không hiểu sai ý của lão, nếu có thì thành thật cho tôi xin lỗi và rút lại các điều tôi nói sau đây.
Lỗi này dù gì đi nữa vẫn có thể gây hại tới người dùng do đó việc đưa tin về nó là cần thiết. Mặc cho lỗi này có mức độ gây hại tới đâu, một khi nó có sự gây hại hoặc khả năng gây hại tới người dùng, thì để người dùng trở thành một "người tiêu dùng thông minh" họ cần được thông báo để gia tăng sự cẩn trọng
 


Tôi không phản đối việc đưa tin về những lỗ hổng như thế này. Ý tôi là những ai thích săn lỗ hổng thì đừng bỏ thời gian đi tìm và báo những vấn đề kiểu như thế này.
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [News]   Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google 24/11/2012 22:27:42 (+0700) | #7 | 271277
IT0405
Member

[Minus]    0    [Plus]
Joined: 06/07/2012 07:40:28
Messages: 33
Offline
[Profile] [PM]
PS: blogspot nó cho owner post javascript thoải mái trong bài viết mà, nhưng mà trong comment thì ko guest post à nha smilie, đố biết tại sao =]] 

Vì nó không muốn Guest lừa Owner =]]
Sự thật là cho đến nay chưa ai bị phished trên iGoogle cả.  

Không biết số liệu đó mrro lấy ở đâu ra nhưng mà mấy trò này mình dùng lừa bạn mình được đấy. Cho nên hình như mrro không tính số người bị lừa mà không thông báo à, hay là cả số người không biết thông báo, hoặc thêm cả số người không biết mình bị lừa ?

Mà thực tế là hầu hết số người bị lừa thì sẽ không thông báo. Một khi đã bị lừa thì làm gì biết mình bị mà thông báo, nếu họ biết để thông báo thì họ đã không bị lừa. Mà nếu như vậy thì câu trên của mrro có lẽ nên đổi thành
Vì nhiều người thông báo cho nên không ai bị lừa, do đó iGooge an toàn 

nghe có vẻ hợp lý hơn. Mà nếu nói như vậy thì Mohit Kumar cũng là một trong những người phủ định lại cái bug của hắn ta. :-p
Dạo này có nhiều vụ hài quá, toàn gặp võ sĩ mồm.
[Up] [Print Copy]
  [News]   Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google 25/11/2012 23:24:21 (+0700) | #8 | 271299
[Avatar]
chube
Member

[Minus]    0    [Plus]
Joined: 22/10/2010 02:34:04
Messages: 105
Location: ░░▒▒▓▓██
Offline
[Profile] [PM]
-@C0de : Ủa bồ cho mình hỏi cái, bồ có đọc kĩ post #2 của anh mrro chưa vậy?
- Câu bồ nói mâu thuẫn quá, mình cũng không biết cái thực tế đó bồ lấy số liệu từ đâu ra ? từ quan điểm của riêng bồ chăng ?? Cho mình ví dụ cụ thể lừa cái gì mà không biết mình bị lừa đi, nhớ là có liên quan đến lĩnh vực đang bàn nha. Ít nhất cũng phải phân biệt rõ lừa là lừa cái gì, cụ thể 1 tí chứ đừng có quơ đũa cả nắm .
- Mình hỏi bồ thằng nào đọc kĩ và biết rõ nếu làm theo cách mà mình sẽ bị lừa nó vẫn làm ?
.-/ / )
|/ / /
/.' /
// .---.
/ .--._\ Awesome Season to hack :') Dont you think so? xD
/ `--' /
/ .---'
/ .'
/
[Up] [Print Copy]
  [News]   Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google 25/11/2012 23:42:37 (+0700) | #9 | 271302
IT0405
Member

[Minus]    0    [Plus]
Joined: 06/07/2012 07:40:28
Messages: 33
Offline
[Profile] [PM]
- Câu bồ nói mâu thuẫn quá, mình cũng không biết cái thực tế đó bồ lấy số liệu từ đâu ra ? từ quan điểm của riêng bồ chăng ?? Cho mình ví dụ cụ thể lừa cái gì mà không biết mình bị lừa đi, nhớ là có liên quan đến lĩnh vực đang bàn nha. Ít nhất cũng phải phân biệt rõ lừa là lừa cái gì, cụ thể 1 tí chứ đừng có quơ đũa cả nắm .  

Tui đang vặn hỏi cái số liệu của mrro chứ tui làm gì có số liệu nào, có làm cho google đâu mà đòi số với má, chưa nói là google đâu dại gì mà public nhữnh thiệt hại gây ra bởi bug của họ. Nghe mrro nói một câu chắc nịch "Sự thật là cho đến nay chưa ai bị phished trên iGoogle cả." nên choáng, mới lại là mrro có tính số người bị lừa mà không thông báo hay là số người cho đến giờ vẫn chưa biết mình bị lừa không =]]

- Mình hỏi bồ thằng nào đọc kĩ và biết rõ nếu làm theo cách mà mình sẽ bị lừa nó vẫn làm ? 

Câu này lộm thộm quá, không biết trả lời thế nào, smilie
Dạo này có nhiều vụ hài quá, toàn gặp võ sĩ mồm.
[Up] [Print Copy]
  [News]   Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google 25/11/2012 23:53:18 (+0700) | #10 | 271303
[Avatar]
chube
Member

[Minus]    0    [Plus]
Joined: 22/10/2010 02:34:04
Messages: 105
Location: ░░▒▒▓▓██
Offline
[Profile] [PM]
- Uầy, mình cũng chỉ nói với bồ là bồ cứ đọc kĩ đi thì hiểu cái số liệu đó từ đâu ra.
Nói cho dễ hiểu là vầy. Nếu bồ không đọc kĩ thì khi bồ bị lừa, bồ tự biết mình dại thì chả việc gì phải thông báo.
Còn khi mà đọc kĩ mà bị lừa thì phải xét 1 số trường hợp, mình nói thí dụ: Tui cố tình bị lừa để tạo số liệu ảo , số liệu dỏm thì sao ? Còn nhiều trường hợp lắm nên mình muốn xin bồ 1 cái ví dụ cụ thể thôi.
Mình dùng dịch vụ người ta, người ta có ghi rõ những gì cần lưu ý khi sử dụng, mình đọc kĩ thì tui hỏi bồ vấn đề đơn giản chưa?
.-/ / )
|/ / /
/.' /
// .---.
/ .--._\ Awesome Season to hack :') Dont you think so? xD
/ `--' /
/ .---'
/ .'
/
[Up] [Print Copy]
  [News]   Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google 26/11/2012 00:04:45 (+0700) | #11 | 271304
IT0405
Member

[Minus]    0    [Plus]
Joined: 06/07/2012 07:40:28
Messages: 33
Offline
[Profile] [PM]

chube wrote:
- Uầy, mình cũng chỉ nói với bồ là bồ cứ đọc kĩ đi thì hiểu cái số liệu đó từ đâu ra.
Nói cho dễ hiểu là vầy. Nếu bồ không đọc kĩ thì khi bồ bị lừa, bồ tự biết mình dại thì chả việc gì phải thông báo.
Còn khi mà đọc kĩ mà bị lừa thì phải xét 1 số trường hợp, mình nói thí dụ: Tui cố tình bị lừa để tạo số liệu ảo , số liệu dỏm thì sao ? Còn nhiều trường hợp lắm nên mình muốn xin bồ 1 cái ví dụ cụ thể thôi.
Mình dùng dịch vụ người ta, người ta có ghi rõ những gì cần lưu ý khi sử dụng, mình đọc kĩ thì tui hỏi bồ vấn đề đơn giản chưa? 

Tui không hỏi nó từ đâu ra, mà tui hỏi nó căn cứ trên cái gì mà thôi. Còn từ đâu ra thì không quan trọng trong trường hợp này, có thể là từ mrro, từ google, từ ... abcxyz, chưa biết cái số liệu nào đúng, số nào sai (vì thằng owner của những số liệu đó là google, mà khi google không lên tiếng confirm thì làm gì có ai biết là đúng hay sai, chưa nói google đôi khi cũng confirm sai). Và một khi cái nguồn gốc không thuyết phục thì chỉ còn cách là dựa vào trong những căn cứ mà số liệu đó dựa vào.

Trong trường hợp của topic này, thực ra cả tui, bồ, mrro hay manthang, ... cũng chỉ như thầy bói xem voi mà thôi. Bởi vì suy cho cùng cũng chẳng ai có thể chứng minh được số liệu của mình thuyết phục, trong khi đó riêng bản thân tui thì không có số liệu, tui tham gia trên tinh thần là phản biện lại số liệu của các bạn bằng cách đưa ra nhiều trường hợp gây nhiễu, để xem căn cứ của bạn nào vẫn còn dùng được và thuyết phục thì coi như có thể tin tưởng vào số liệu đó, ít ra là vậy.
Còn khi mà đọc kĩ mà bị lừa thì phải xét 1 số trường hợp, mình nói thí dụ: Tui cố tình bị lừa để tạo số liệu ảo , số liệu dỏm thì sao ? 

Đúng vậy, vì có cả những trường hợp như bồ nói và cả tui nói bên trên (bị lừa mà không thông báo) thì cái số liệu của mrro càng ít trụ vững được.

PS : Theo các bồ thì information security sinh ra để làm gì ? để bảo vệ những người có hiểu biết hay là những người không hiểu biết ?
Dạo này có nhiều vụ hài quá, toàn gặp võ sĩ mồm.
[Up] [Print Copy]
  [News]   Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google 26/11/2012 00:25:43 (+0700) | #12 | 271305
[Avatar]
chube
Member

[Minus]    0    [Plus]
Joined: 22/10/2010 02:34:04
Messages: 105
Location: ░░▒▒▓▓██
Offline
[Profile] [PM]
- Mình nói thiệt nha, bạn kêu là "không hỏi nó từ đâu ra" vậy bạn đọc lại #7 của bạn đi nha, nguyên văn nó là vầy nè "lấy ở đâu ra ",. Mình chả phức tạp vấn đề và không muốn làm loãng topic nên mình chốt lại vầy
+ mình NÓI HAY thì phải LÀM ĐƯỢC, Google họ nói fix và họ đã fix, vấn đề đã được giải quyết.
+ Xài cái gì thì đọc kĩ cái đó, bị lừa thì đừng hỏi tại sao hay đừng đổ thừa tại ai, mình làm mình chịu ok ? Mình ngủ nha
.-/ / )
|/ / /
/.' /
// .---.
/ .--._\ Awesome Season to hack :') Dont you think so? xD
/ `--' /
/ .---'
/ .'
/
[Up] [Print Copy]
  [News]   Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google 26/11/2012 01:14:36 (+0700) | #13 | 271306
IT0405
Member

[Minus]    0    [Plus]
Joined: 06/07/2012 07:40:28
Messages: 33
Offline
[Profile] [PM]

chube wrote:
- Mình nói thiệt nha, bạn kêu là "không hỏi nó từ đâu ra" vậy bạn đọc lại #7 của bạn đi nha, nguyên văn nó là vầy nè "lấy ở đâu ra "

Thảo luận với mấy đứa não ngắn như bồ tui mệt thiệt. Nói thế mà không hiểu nữa thì chịu, :-|
Dạo này có nhiều vụ hài quá, toàn gặp võ sĩ mồm.
[Up] [Print Copy]
  [News]   Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google 26/11/2012 11:19:52 (+0700) | #14 | 271318
[Avatar]
chube
Member

[Minus]    0    [Plus]
Joined: 22/10/2010 02:34:04
Messages: 105
Location: ░░▒▒▓▓██
Offline
[Profile] [PM]
@C0de : Muốn biết não ngắn hay não dài thì cứ ra ngoài gặp nhau anh em cafe thảo luận ok ? Bồ ở tphcm nếu tiện thì cho cái phone ra gặp nhau dễ thảo luận hơn. Thằng này thích nói được làm được, nhắm mà đo được não ngắn hay dài thì cứ ra đây mình cho gặp trực tiếp mà đo. Vậy nha
.-/ / )
|/ / /
/.' /
// .---.
/ .--._\ Awesome Season to hack :') Dont you think so? xD
/ `--' /
/ .---'
/ .'
/
[Up] [Print Copy]
  [News]   Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google 26/11/2012 14:52:02 (+0700) | #15 | 271323
phanledaivuong
Member

[Minus]    0    [Plus]
Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline
[Profile] [PM] [WWW]

chube wrote:
@C0de : Muốn biết não ngắn hay não dài thì cứ ra ngoài gặp nhau anh em cafe thảo luận ok ? Bồ ở tphcm nếu tiện thì cho cái phone ra gặp nhau dễ thảo luận hơn. Thằng này thích nói được làm được, nhắm mà đo được não ngắn hay dài thì cứ ra đây mình cho gặp trực tiếp mà đo. Vậy nha 


Khi đi nhớ cầm theo cái điếu cày.
[Up] [Print Copy]
  [News]   Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google 26/11/2012 19:08:26 (+0700) | #16 | 271338
IT0405
Member

[Minus]    0    [Plus]
Joined: 06/07/2012 07:40:28
Messages: 33
Offline
[Profile] [PM]

chube wrote:
@C0de : Muốn biết não ngắn hay não dài thì cứ ra ngoài gặp nhau anh em cafe thảo luận ok ? Bồ ở tphcm nếu tiện thì cho cái phone ra gặp nhau dễ thảo luận hơn. Thằng này thích nói được làm được, nhắm mà đo được não ngắn hay dài thì cứ ra đây mình cho gặp trực tiếp mà đo. Vậy nha 

Ôi thôi, não ngắn + trẻ trâu. Mà còn lại rảnh nữa, bồ cứ tỏ ra nguy hiểm thế làm gì ? smilie

Thôi không thảo luận trong topic này nữa, lại khẻo đụng chạm đến thần tượng nào đó của ai đó thì cứ nhảy dựng lên như kiến cắn đ!t' thì nguy hiểm lắm smilie
Dạo này có nhiều vụ hài quá, toàn gặp võ sĩ mồm.
[Up] [Print Copy]
  [News]   Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google 26/11/2012 21:49:51 (+0700) | #17 | 271348
[Avatar]
chube
Member

[Minus]    0    [Plus]
Joined: 22/10/2010 02:34:04
Messages: 105
Location: ░░▒▒▓▓██
Offline
[Profile] [PM]
Uầy, đến 1 chút bản lĩnh cũng không có.
Ừ mình trẻ trâu và não ngắn thiệt nhưng mà chờ được gặp bạn để học hỏi bạn sao khó quá , bất cứ khi nào muốn chứng minh điều mà bạn nói thì cứ pm nha thằng này chờ , mình chỉ sợ không có cái ngày đó vì theo mình thấy thì bạn nhiều lí do quá. Dạng như bạn mình chỉ coi như anh hùng bàn phím, ngồi sau cái máy tính gõ gõ cho nhiều vô nha bạn. 1 ngày đẹp trời.
.-/ / )
|/ / /
/.' /
// .---.
/ .--._\ Awesome Season to hack :') Dont you think so? xD
/ `--' /
/ .---'
/ .'
/
[Up] [Print Copy]
  [News]   Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google 26/11/2012 23:59:37 (+0700) | #18 | 271350
IT0405
Member

[Minus]    0    [Plus]
Joined: 06/07/2012 07:40:28
Messages: 33
Offline
[Profile] [PM]
Hy vọng mod nào vào xóa mấy cái bài post linh tinh trong topic này để topic này sạch sẽ (cả vài bài post của mình nữa). Chứ nhìn các bài post của những người trẻ trâu (dĩ nhiên không có bài mình) mình chịu không được, cám ơn smilie
Dạo này có nhiều vụ hài quá, toàn gặp võ sĩ mồm.
[Up] [Print Copy]
  [News]   Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google 27/11/2012 02:01:41 (+0700) | #19 | 271354
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
:]]. Sao mà ra nông nỗi? Tôi cũng định giải thích này nọ, mà thấy trong tình hình này thì tốt nhất là mặc kệ. Nói chuyện với những bạn "già trâu và não dài" như C0denam3 chỉ tổ bị bực bội như bạn chube thôi.

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [News]   Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google 27/11/2012 08:57:26 (+0700) | #20 | 271358
CutiVNPT
Member

[Minus]    0    [Plus]
Joined: 20/01/2011 02:15:51
Messages: 2
Offline
[Profile] [PM]

mrro wrote:
Đây không phải là lỗi bảo mật gì cả, chẳng qua là một tính năng bị lợi dụng để có thể lừa gạt người dùng. Bây giờ nhìn vào cái trang này:

http://www.google.com/ig/directory?url=hosting.gmodules.com/ig/gadgets/file/116774377668678157889/Google_Login.xml

Phần phía dưới có ghi rõ thế này:


Most of the content in this directory was developed by Google users. Google makes no representations about its performance, quality, or content. Google doesn't charge for inclusion in this directory or accept payment for better placement.
 


Đương nhiên nếu ai không nhìn kỹ thì vẫn có thể bị lừa, nhưng mà nếu họ đã không nhìn kỹ rồi thì ở đâu họ cũng sẽ bị lừa cả thôi.

-m

PS: đừng bao giờ tìm và gửi những lỗ hổng như thế này, nếu không muốn bị hạ uy tín. 


Bồ phải hiểu đại đa số dân Việt Nam đều không giỏi tiếng anh.Có phải ai cũng có khả năng và kiến thức IT như bồ.Bồ k nghĩ đến việc report này giúp những bạn bập bẹ máy tính tránh bị xâm nhập không?
Nếu một vị vua cai trị theo kiểu ai khôn thì sống ngu thì chết liệu đất nước đấy sẽ ra sao ?
Nếu bồ giỏi bồ hãy tạo con đường an toàn cho người ta đi thay vì chỉ cách cho người ta đi như thế nào !
[Up] [Print Copy]
  [News]   Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google 27/11/2012 11:05:56 (+0700) | #21 | 271364
[Avatar]
chube
Member

[Minus]    0    [Plus]
Joined: 22/10/2010 02:34:04
Messages: 105
Location: ░░▒▒▓▓██
Offline
[Profile] [PM]
Thanh niên thời nay ai cũng như bạn CutiVNPT thì mình cũng bó tay, hiểu được nhược điểm của mình không lo giành thời gian mà tập luyện cho tốt còn ở đó mà lôi kéo đồng bào với lí do nguỵ biện và tào lao " Không giỏi tiếng anh". Bạn nghĩ ngồi trên mạng gõ gõ vài cái là khắc phục vấn đề, không ấy đi chung với bạn C0de kiết gì đó lên Công viên Le Van Tám ở gần bình thạnh nè, mình giao lưu là hiểu nhau liền à
.-/ / )
|/ / /
/.' /
// .---.
/ .--._\ Awesome Season to hack :') Dont you think so? xD
/ `--' /
/ .---'
/ .'
/
[Up] [Print Copy]
  [News]   Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google 27/11/2012 11:28:21 (+0700) | #22 | 271365
CutiVNPT
Member

[Minus]    0    [Plus]
Joined: 20/01/2011 02:15:51
Messages: 2
Offline
[Profile] [PM]

chube wrote:
Thanh niên thời nay ai cũng như bạn CutiVNPT thì mình cũng bó tay, hiểu được nhược điểm của mình không lo giành thời gian mà tập luyện cho tốt còn ở đó mà lôi kéo đồng bào với lí do nguỵ biện và tào lao " Không giỏi tiếng anh". Bạn nghĩ ngồi trên mạng gõ gõ vài cái là khắc phục vấn đề, không ấy đi chung với bạn C0de kiết gì đó lên Công viên Le Van Tám ở gần bình thạnh nè, mình giao lưu là hiểu nhau liền à 


Chúc mừng bạn.Bạn thuộc vào nhóm thiểu số ở Việt Nam nhìn đời qua cái màn hình máy tính.
[Up] [Print Copy]
  [News]   Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google 27/11/2012 11:44:47 (+0700) | #23 | 271368
lucinda
Member

[Minus]    0    [Plus]
Joined: 15/06/2011 22:05:27
Messages: 5
Offline
[Profile] [PM]

CutiVNPT wrote:

mrro wrote:
Đây không phải là lỗi bảo mật gì cả, chẳng qua là một tính năng bị lợi dụng để có thể lừa gạt người dùng. Bây giờ nhìn vào cái trang này:

http://www.google.com/ig/directory?url=hosting.gmodules.com/ig/gadgets/file/116774377668678157889/Google_Login.xml

Phần phía dưới có ghi rõ thế này:


Most of the content in this directory was developed by Google users. Google makes no representations about its performance, quality, or content. Google doesn't charge for inclusion in this directory or accept payment for better placement.
 


Đương nhiên nếu ai không nhìn kỹ thì vẫn có thể bị lừa, nhưng mà nếu họ đã không nhìn kỹ rồi thì ở đâu họ cũng sẽ bị lừa cả thôi.

-m

PS: đừng bao giờ tìm và gửi những lỗ hổng như thế này, nếu không muốn bị hạ uy tín. 


Bồ phải hiểu đại đa số dân Việt Nam đều không giỏi tiếng anh.Có phải ai cũng có khả năng và kiến thức IT như bồ.Bồ k nghĩ đến việc report này giúp những bạn bập bẹ máy tính tránh bị xâm nhập không?
Nếu một vị vua cai trị theo kiểu ai khôn thì sống ngu thì chết liệu đất nước đấy sẽ ra sao ?
Nếu bồ giỏi bồ hãy tạo con đường an toàn cho người ta đi thay vì chỉ cách cho người ta đi như thế nào ! 



Mấy hôm nay mình theo dõi bài viết này, theo cách nghĩ của mình thì vấn đề như sau :
- Cách nói chuyện của bồ C0denam3 khiến người khác không phục, cách bồ trình bày ý kiến mình theo kiểu là chỉ có mình đúng, và không chấp nhận ý kiến người khác. Thứ hai là cách bồ nói chuyện không tôn trọng người khác, tại sao khi bồ chú bé nói chuyện rất lịch sử, bồ lại nhận xét người khác là não ngắn và trẻ trâu, bồ so sánh dựa trên thang đo nào vậy. Muốn người khác tôn trọng bồ thì trước hết bồ phải tôn trọng người khác đã

- Còn nhận xét của CutiVNPT "Nếu bồ giỏi bồ hãy tạo con đường an toàn cho người ta đi thay vì chỉ cách cho người ta đi như thế nào !" thì bồ Cuti đọc qua câu chuyện này xem :

http://unprotocols.org/blog:16?

Có phải lúc nào tạo ra con đường an toàn cũng đúng không ? Mà đòi hỏi phải kết hợp cả từ hai phía con đường và cả cách đi.


Những người có ý định xấu thì nhiều vô số, và cách lừa lọc ngày càng đa dạng hơn, nếu chính bạn không phải là người cẩn thận trước thì có sử dụng biện pháp tạo "con đường an toàn" như thế nào đi chăng nữa thì cũng không đạt hiệu quả.

Thân.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|