Google Readerに任意のフィードを自動的に購読させるCSRF脆弱性が発見されるも、即修正される [2007-07-22 20:41:42]
「Google Security Flaw Allows Sites to Auto-Subscribe New RSS Readers」より。
あるHTMLコードが埋め込まれたページを訪れると、自動的にその人のGoogle Readerにフィードが登録されてしまうというCSRF脆弱性がGoogle Readerに存在していたようです。
具体的には、iframeのsrcの値として「フィードをGoogle Readerに追加する際のURL」を仕込んでおくというもの。参照元のページにはそのコードと実証ページのリンクが掲載されていますが、先ほど試してみても何も起きませんでした。(どうやら参照元のコメント欄を見るとすでにGoogle内部に伝わって修正されている。)
ちなみに、以前もGoogle Readerには「強制的にログアウトさせる」というCSRF脆弱性がありました。
前の記事
次の記事
トップページ
[PR]美味しい梅酒が見つかるサイト