TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
สำหรับผู้ที่ใช้ Google PHP API Client ช่วงนี้อาจต้องระมัดระวังกันเสียหน่อย เพราะมีการค้นพบช่องโหว่ Cross-site Scripting (XSS) ด้วยกันถึง 2 ช่องโหว่ที่อาจนำไปสู่การทำ Phishing ได้
Google API Client Libraries > PHP นี้เป็นชุด PHP Library สำหรับใช้เชื่อมต่อกับ API ต่างๆ ของ Google เช่น Google+, Google Drive และ YouTube ที่ถึงแม้จะอยู่ในสถานะ Beta อยู่ แต่ก็อยู่ในสถานะนี้มานานจนมีผู้ใช้งานจริงถึงขั้นเปิดห้องพูดคุยกันใน Stackoverflow ไปแล้ว และทาง Leon Juranic ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก DefenseCode ก็ได้ใช้ผลิตภัณฑ์ ThunderScan ของบริษัทตนเองในการตรวจสอบความมั่นคงปลอดภัยของ Google PHP API Client และพบช่องโหว่ XSS ที่ทำให้ผู้โจมตีทำ Phishing หลอกให้ผู้ดูแลระบบคลิกลิงค์และสั่งให้โค้ดอันตรายทำงานจากการเรียกใช้ API เหล่านั้นด้วยข้อมูลยืนยันตัวตนของผู้ดูแลระบบได้
ปัจจุบันมีการแจ้งช่องโหว่นี้ให้ทีมงาน Google ทราบแล้ว และทาง Google ก็สัญญาว่าจะออก Patch ใหม่ที่ปลอดภัยขึ้นมาให้ ส่วนรายละเอียดเชิงลึกของช่องโหว่นี้อยู่ที่ http://seclists.org/fulldisclosure/2017/May/42 นะครับ
ที่มา: https://www.theregister.co.uk/2017/05/12/googles_php_api_client_has_xss_vulnerability/
