CSRF en las búsquedas de Google

No se ha encontrado ningún resultado

Si ahora mismo tienes una sesión de Google iniciada, puedes ir al histórico de búsquedas de Google y verás que aparece una búsqueda que no has realizado... conscientemente.

El truco, un ataque CSRF comentado por Jeremiah Grossman, consiste en añadir en el código HTML de la página una imagen cuyo src sea la URL de la búsqueda que queramos que realice el que visite la página. Por ejemplo:

<img src="http://www.google.es/search?q=%22terminus.ignaciocano.com%22" border="0" height="0" width="0">

---

Entradas relacionadas

• CSRF en el panel de administración del router Arcadyan de ya.com
• Servicio de SSH con sistema de verificación en dos pasos de Google en Ubuntu Natty Narwhal
• Symfony en Ubuntu Lucid Lynx 10.04
• The history of Android: The endless iterations of Google’s mobile OS
• Google’s Got an Open Source Android Problem

---