Британский исследователь Петко Петков, сделавший себе имя за последнее время на обнаружении ряда серьезных уязвимостей, объявил о выявлении возможности несложного взлома почтовых ящиков Google Gmail путем метода, названного им «межсайтовой подделкой запроса» (cross-site request forgery). По словам Петкова, атаку можно провести, используя механизм фильтрации сообщений Gmail. Потенциальная жертва должна посетить вредоносный сайт, не выходя при этом из Gmail. Сайт атакующего затем с помощью HTML-команды POST и функций API Gmail внедряет посторонний фильтр в список фильтров пользователя. Такой фильтр может, например, автоматически пересылать на чужой адрес сообщения, отвечающие заданному критерию. Это будет происходить до тех пор, пока пользователь не заметит посторонний фильтр и не уберет его из своего списка вручную.

Поделитесь материалом с коллегами и друзьями