安基網 首頁 資訊 安全報 查看內容

黑客利用XSS漏洞,可訪問谷歌的內部網絡

2019-6-17 11:10| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 據外媒報道,一位年輕的安全研究員在谷歌的一個后端應用程序中發現了一個安全漏洞。如果被黑客利用,該漏洞可能會讓黑客竊取谷歌內部應用程序的員工cookie并劫持賬戶,發起魚叉式釣魚攻擊,并有可能進入谷歌內部網絡 ...

據外媒報道,一位年輕的安全研究員在谷歌的一個后端應用程序中發現了一個安全漏洞。如果被黑客利用,該漏洞可能會讓黑客竊取谷歌內部應用程序的員工cookie并劫持賬戶,發起魚叉式釣魚攻擊,并有可能進入谷歌內部網絡的其他部分。

今年2月,安全研究人員Thomas Orlita發現了這個攻擊途徑。漏洞在4月中旬已修復,但直到現在才公布。該安全漏洞為XSS(跨站點腳本)漏洞,影響了谷歌發票提交門戶,谷歌的業務合作伙伴在此處提交發票。

大多數XSS漏洞被認為是良性的,但也有少數情況下,這些類型的漏洞會導致嚴重的后果。

其中一個漏洞就是Orlita的發現。研究人員表示,惡意威脅行動者可將格式不正確的文件上傳到谷歌發票提交門戶。

攻擊者使用代理可以在表單提交和驗證操作完成后立即攔截上傳的文件,并將文檔從PDF修改為HTML,注入XSS惡意負載。

數據最終將存儲在谷歌的發票系統后端,并在員工試圖查看它時自動執行。Orlita表示,員工登錄時在googleplex.com子域名上執行XSS漏洞,攻擊者能夠訪問該子域名上的dashboard,從而查看和管理發票。根據googleplex.com上配置cookie的方式,黑客還可以訪問該域中托管的其他內部應用程序。

總的來說,就像大多數XSS安全漏洞一樣,這個漏洞的嚴重程度依賴于黑客的技能水平。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:http://tech.ifeng.com/c/7nY0BZMmNCe

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
云南快乐十分开奖结果前三