В клиенте PHP API от Google обнаружена XSS-уязвимость

Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Олег Иванов 15 Мая 2017 - 10:18

Домашние пользователи

Уязвимости программ

...

В клиенте PHP API от Google обнаружена XSS-уязвимость

Пользователям клиента PHP API от Google стоит опасаться фишинговых атак. Google пытается исправить уязвимость межсайтового скриптинга (XSS).

Эта уязвимость была обнаружена Леоном Юраником (Leon Juranic) из DefenseCode, который использовал сканер ThunderScan. Компания признала наличие бреши и пообещала исправить ее как можно скорее.

Злоумышленник может проэксплуатировать обнаруженную уязвимость, заставив администратора пройти по специальной ссылке, при этом вредоносный код JavaScript будет выполнен с неограниченным доступом к сайту.

Несмотря на то, что затрагиваемая библиотека описывается Google как «бета», существует множество инструкций и форум по использованию API и OAuth2 для переноса данных Google в другие проекты. API-интерфейсы включают интерфейсы для Google+, Drive и YouTube.

Описываемая уязвимость содержится в функции $_SERVER['PHP_SELF'].

«Когда ничего не подозревающий пользователь посещает такой вредоносный URL-адрес, злоумышленник может отправить запросы на API от имени жертвы, используя JavaScript-код» - отмечает эксперт.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Читайте также

В России будут блочить боты Telegram, предлагающие подмену голоса

Татьяна Никитина 07 Ноября 2025 - 13:04

Дипфейк (Deepfake)Соответствие законодательству РФ Домашние пользователи Государство

В России будут блочить боты Telegram, предлагающие подмену голоса

Хамовнический суд Москвы признал запрещенной публикуемую в мессенджерах информацию о возможности изменения голоса во время звонков. Телеграм-боты, предлагающие такие услуги, подлежат блокировке на территории РФ.

Решение принято судом по ходатайству прокуратуры, поданному в защиту неопределенного круга лиц. Ответчику (Роскомнадзору) предписано ограничить доступ к ресурсам Telegram, нарушающим российское законодательство.

Основанием для иска послужили результаты прокурорской проверки. В их ходе был выявлен ряд телеграм-ботов, предлагающих услуги по подмене голоса инициатора телефонных вызовов и аудиобесед в мессенджере.

Суд установил, что публичный доступ к таким ресурсам повышает риск их использования в нарушение российских законов о связи, противодействии терроризму и экстремистской деятельности. Кроме того, доступность услуг по подмене голоса провоцирует мошенничество, с которым российские власти усиленно борются.

Особенно опасны в этом плане дипфейки. В прошлом году из-за использования злоумышленниками ИИ-технологий число атак с применением дипфейков, по данным экспертов МТС, измерялось десятками тысяч.

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.