安基網 首頁 資訊 安全報 查看內容

16歲研究人員發現Google對外網站XSS漏洞,可駭入內部網站

2019-6-18 13:44| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 一名16歲的安全研究人員今年稍早發現,Google一個后臺系統存在跨網站腳本程序(cross-site scripting,XSS)漏洞,一旦遭惡意人士開采可能用于攻擊Google員工或是竊取Google敏感資訊。所幸經通報后,Google已及時修補。專職網頁開發及Google漏洞賞金獵人的Thomas Orlita,今年稍早在Google名為Google I ...

一名16歲的安全研究人員今年稍早發現,Google一個后臺系統存在跨網站腳本程序(cross-site scripting,XSS)漏洞,一旦遭惡意人士開采可能用于攻擊Google員工或是竊取Google敏感資訊。所幸經通報后,Google已及時修補。

專職網頁開發及Google漏洞賞金獵人的Thomas Orlita,今年稍早在Google名為Google Invoice Submission Portal的網站上發現這項漏洞。這個網站旨在提供第三方供應商上傳發票,它是代管在appspot.com的公開網域上,后者多半用于代管Google App Engine項目,而Google自有網站在開發階段也經常使用,不過在正式上線時會轉移到google.com或其他網域。本案可能是因為疏忽而直接在appspot.com上,出版了有漏洞的Invoice Upload的網站所致。

Invoice Upload網站以文字表格要求供應商輸入電子郵件信件、發票編號、日期、檔案類型(Content Type),然后上傳發票的PDF檔,這種方式可以防止XSS攻擊。但研究人員發現,他可以在PDF檔案真正上傳前,將檔案副檔名由.pdf改成.html,將Content Type由application/pdf改為text/html。如此一來,Google網站即接收了XSS屬性,而非應該有的PDF檔。

數天后他得知在googleplex.com網域正在執行盲目式(blind,即未顯示錯誤訊息的)XSS。Google內部網站及app都是代管于這個網域上。欲登入該網域都會被導向Google公司的登入頁(稱為MOMA登入頁)。唯有Google員工才有權登入,需要輸入有效的google.com帳號進行驗證。

也就是說,研究人員已經用XSS攻擊進入了Google內部網站。如果惡意人士在googleplex.com執行惡意JavaScript,則可能存取Google發票系統或其他敏感資訊。

研究人員在2月通報Google。Google指出,Googleplex.com上的應用程式彼此獨立,即使cookie或憑證被竊,登入該網站的黑客或惡意程式也無法在Google網站間橫向移動。不過Google還是于3月底修補了這個問題,也不再把資料儲存到googleplex.com網站,而改儲存到storage.googleapis.com網址,后者用于儲存上傳的用戶資訊,但類似沙盒環境,就不再有XSS攻擊的風險。

資料來源:iThome Security



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6703584641749615108/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
云南快乐十分开奖结果前三