sábado, 13 de febrero de 2010

Primeras vulnerabilidades en Buzz





Hace un par de días, se me activó una nueva pestaña en gmail, en el texto de ésta, aparece la palabra "Buzz". Al parecer, es un nuevo servicio de google, que intenta emular una especie twitter que sea utilizado desde gmail, donde tus contactos puedan ver que públicas, y hacer comentarios al respetcto.

Por lo que he visto, me gusta algo más que twitter por el hecho de que es más fácil seguir el hilo de una conversación.... pero el caso.. es que al ser un servicio nuevo integrado a Gmail, puede aportar nuevas vulnerabilidades al conocido gestor de correo.

He leído esta mañana, que es posible realizar un ataque de CSRF (Cross-site request forgery) a gmail. Este ataque se basa en que un usuario realice una petición hacia un sitio web (en este caso, gmail) sin que éste tenga conocimiento de ello.

Una prueba es que al cargar la siguiente imagen, si teníais el gmail abierto, se os habrá cerrado la sessión.

El siguiente test.. va a ser utilizar este tipo de ataques para publicar algún texto en Buzz. Si lo consigo, ya os enteraréis!!!


Fuente: