Google yakın zamanda hayata geçirdiği YouTube Gaming içerisindeki bir cross-site scripting (XSS) açığını bulan araştırmacıyı $3.133.7 ile ödüllendirdi.
Geçtiğimiz Ağustos sonunda sessiz sedasız hayata geçen YouTube Gaming, Amazon’un satın almış olduğu Twitch’in bir rakibi, oyun videolarının canlı olarak stream edildiği bir platform.
Bir Hyundai AutoEver Europe çalışanı olan Ashar Javed adlı testçi birkaç dakikada YouTube Gaming’deki arama çubuğundaki XSS açığını bulmuş. Javed’e göre “/>” string’ine izin veren kontrol mekanizması sayesinde saldırıyı gerçekleştirmek mümkün olabiliyor.
Diğer tüm XSS açıklarında olduğu gibi, elbette saldırganın önce kurbanı özel üretilmiş bir link’e tıklatması gerekiyor. Bunda başarılı olursa açığı kullanarak cookie, session token ve kullanıcının tarayıcısındaki diğer başka hassas bilgilere erişim imkanı olabiliyor.
Bu açık 22 Ekim’de Google ile paylaşılmış ve 1 hafta içerisinde yamalanarak çözülmüş. Google da açığı bulan kişiye iyi niyeti ve eforunun karşılığı olarak $3.133.7 ödül vermiş.
Javed’e göre, bu açık genelde geliştiricilerin unuttuğu bir nokta ve benzer açıkları Netflix, Yandex ve benzeri popüler 10 farklı sitede daha bulmuş.
Bu açıkla ilgili daha detaylı bilgi almak için XSS vulnerability in YouTube Gaming sayfasına göz atılabilir.