Autor: Batou | 14.7.2014 |
Nutné podmínky pro využití zranitelnosti na Google Drive byly následující:
A právě v tom byl zakopán pes. Pokud totiž byly splněny všechny předchozí podmínky, administrátor webu, na který vedl HTTPS dotaz dostal v hlavičce více informací, než by bylo zdrávo.
Přesněji řečeno - viděl i URL dokumentu v kterém byl umístěn odkaz na jeho web. Díky nastavených právům měl tak se znalostí odkazu možnost dokument prohlížet, i když mu to nepříslušelo.