พบช่องโหว่ Cross-site Scripting บน Google ประเทศฝรั่งเศส

Issam Rabhi (@issam_rabhi) นักวิจัยจาก Sysdream บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยจากฝรั่งเศส ออกมาเปิดเผยถึงช่องโหว่ Cross-site Scripting บน Google ของประเทศฝรั่งเศส ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีเพื่อทำ Session Hijacking แฮ็คข้อมูลส่วนบุคคล หรือขโมยข้อมูลบน Cookie ได้

“[ช่องโหว่ XSS นี้] ช่วยให้แฮ็คเกอร์สามารถส่ง Malicious Code ไปยังเหยื่อ ส่งผลให้สามารถแฮ็คข้อมูลและไฮแจ็ค Browser Session ได้ ผลลัพธ์คือ แฮ็คเกอร์สามารถแฮ็คข้อมูลส่วนบุคคล ขโมย Cookie หรือแม้แต่เข้าควบคุมเบราเซอร์ของเหยื่อได้” — Rabhi อธิบาย

Rabhi ได้แจ้งรายละเอียดของช่องโหว่ไปยัง Google เมื่อวันที่ 5 สิงหาคม ที่ผ่านมา ซึ่งทาง Google ได้ใช้เวลานานถึง 4 วันในการอุดช่องโหว่ดังกล่าว จากนั้น Rabhi จึงโพสต์รายละเอียดเกี่ยวกับช่องโหว่และการ POC บนเว็บไซต์ของ Sysdream ผู้ที่สนใจสามารถดูรายละเอียดเพิ่มเติมได้ที่ https://sysdream.com/news/lab/2016-09-12-cross-site-scripting-vulnerability-found-on-www-google-fr/