jueves, 9 de junio de 2016

El OpenRedirect de Google

Ya hablamos hace tiempo del la lista de correo Bugtraq y de todo lo que podíamos encontrar en la página de SecList.Org, pues ya hace tiempo se publicó un URL redirect que afectaba a Google y que la empresa del fantástico buscador  no ve como vulnerabilidad (Técnicamente no afecta a Google directamente) pero si que puede afectar a terceras personas o ayudar que que la gente pique en temas de Phishing.


Así que me he montado una PoC con WhatistheirIp y el URL redirect para que se pueda ver la afectación.  Bueno el "usage" es fácil, la vulnerabilidad reside en la siguiente URL: 
  • https://www.google.com/amp/XXXX 
Así que solo tendréis que substituir las XXXX por la pagina web a la que quereis que la víctima vaya, sin el https:// o el http://

Ejemplo y fuente:

PoC:


Sed buenos con esto 0;) 

1 comentario: