На электронной конференции Full-Disclosure была опубликована подробная инструкция по использованию уязвимости в онлайн-сервисе Google Orkut. Уязвимость, которую обнаружил Susam Pal касается механизма обслуживания сессий пользователя и обработки кукезов. В ходе анализа работы этих механизмов было обнаружено, что информация о сессии сохраняется на сервере Orkut в течение 24 часов, после завершения сеанса работы и удаления кукезов на компьютере пользователя. Злоумышленник, получив информацию из кукезов пользователя, может зайти в его аккаунт без знания пароля. Уязвимость на данный момент не устранена.
Подробнее