Исследователь обошел механизм защиты в Google AdSense

Доктор Мануэль Бласкез, профессор Мадридского университета Комплутенсе, придумал, как можно преодолеть механизм защиты от вирусной рекламы в Google AdSense. Исследователь рассказал, что с помощью ошибок на сайте AdSense можно провести XSS-атаку, в результате которой киберпреступник сможет осуществить загрузку на ресурс вредоносной рекламы.

Механизм защиты в AdSense существует в виде сценария JavaScript show_ads.js. Если ресурс, который пользуется рекламным инструментом от Google, производит загрузку сценария, AdSense создает два фрейма iframe: один из них инициирует проверку безопасности и отвечает за защиту второго iframe, задачей которого является отображение самой рекламы.

Киберпреступник может внедрить в исходный код целевого сайта специальную форму, с помощью которой можно сохранить URL второго фрейма iframe. Это делает возможным создание сценария JavaScript, извлекающего URL рекламы, преодолевая при этом механизм защиты.

Пример преодоления механизма безопасности в AdSense размещен исследователем на YouTube. Кроме того, Бласкез также обнародовал PoC-код этой уязвимости на своем сайте.