Einfach PoC zeigt Angriffspotential auf
Cross-Site-Scripting bei Google Maps möglich
Wie auf der Sicherheitsliste „Full Disclosure“ gemeldet wurde, existiert eine Cross-Site-Scripting-Schwachstelle in Google Maps. Mit folgender URL lässt sich beispielsweise Scriptcode in die Browsersitzung einspeisen:
Das im Link enthaltene Script „alert(„Hello World“) führt zur Ausgabe dieser Zeichenkette in einem Popup-Fenster. Alternativ lässt sich natürlich auch anderer Scriptcode einspeisen, beispielsweise Code, der die vorhandene Session-ID auf die Website eines Angreifers überträgt und ihm dadurch ermöglicht, die Session des attackierten Benutzers auf Google zu übernehmen.
Ergänzung: Momentan quittiert Google den XSS-Angriff mit der Meldung:
We’re sorry…but your computer or network may be sending automated queries. To protect our users, we can’t process your request right now.
Wie ein händischer Versuch des XSS-Angriffs zeigte, scheint Google bereits an der Lösung des Problems zu arbeiten – er scheiterte nämlich eben. (vgw)