Google Hacking

Google spreadsheets üzerinden yapılan bir cross-site scripting saldırısıyla kullanıcı çerezlerinin çalınması ve google servislerine erişim mümkün olmakta. Bu servisler arasında Gmail'de bulunuyor.

HTTP isteğinin istemciden dönüşünde yaşanılan tanımlama sorunundan çıkan güvenlik açığı Internet Explorer'ın gönderilen içerik tipi başlıkları görmezden gelmesi nedeniyle sınırlı. Hazırlanan spreadsheet (döküman) içeriğinde yer alan HTML ve JavaScript kodlarıyla kullanıcıların çerezlerini kaydediyor. Daha sonra text tabanlı CSV dosyası olarak oluşturulan bağlantı Internet Explorer'da HTML olarak görünüyor. Bu spreadsheet'i açan herhangi bir kişinin çerezleri saldırgana gidiyor.

Cult of the Dead Cow (cDc) adındaki hack grubu 'Google Hacking' olarak bilinen, Google'da yapılan ince arama yöntemlerini otomatikleştiren bir site yaptı.

Googlag olarak duyurulan site ile birlikte güvenlik açıklarının taranması ve özel verilere ulaşım sağlanabiliyor. Güvenlik amacıyla duyurulan site webmaster'ların kendi sitelerinin güvenlik açıklarını tespit etmeleri için kullanılabiliyor. Daha önce Black Hat konferanslarında çok tartışılan bir konu olan 'Google Hacking', johnny.ihackstuff ile popülerleşmişti.