Пользователям клиента PHP API от Google стоит опасаться фишинговых атак. Google пытается исправить уязвимость межсайтового скриптинга (XSS).
Эта уязвимость была обнаружена Леоном Юраником (Leon Juranic) из DefenseCode, который использовал сканер ThunderScan. Компания признала наличие бреши и пообещала исправить ее как можно скорее.
Злоумышленник может проэксплуатировать обнаруженную уязвимость, заставив администратора пройти по специальной ссылке, при этом вредоносный код JavaScript будет выполнен с неограниченным доступом к сайту.
Несмотря на то, что затрагиваемая библиотека Google как «бета», существует множество инструкций и по использованию API и OAuth2 для переноса данных Google в другие проекты. API-интерфейсы включают интерфейсы для Google+, Drive и YouTube.
Описываемая уязвимость содержится в функции $_SERVER['PHP_SELF'].
«Когда ничего не подозревающий пользователь посещает такой вредоносный URL-адрес, злоумышленник может отправить запросы на API от имени жертвы, используя JavaScript-код» - эксперт.
