16岁的安全研究人员发现谷歌后台系统存在XSS漏洞可渗透谷歌内网

近期谷歌披露当前已经修复的某个安全漏洞,这枚安全漏洞属于跨站脚本攻击可用来袭击谷歌员工和渗透等。

值得注意的是这枚安全漏洞还是个仅只有 16 岁的研究人员发现的 ,  当然漏洞没有被外泄而是尽职通报谷歌。

谷歌在接到通报后随后将这枚漏洞彻底修复,当然现在也只是在彻底修复后谷歌才会把漏洞的细节公布披露。

谷歌的跨站脚本攻击:

研究人员透露谷歌某个用于上传发票的网站存在配置不当,原本这个网站要求用户上传的是.PDF格式的文档。

采用这类格式的好处是既可以接收内容又可以规避跨站脚本攻击,但是似乎开发人员在后台配置时存在错误。

当用户把文档上传后系统自动转换为.HTML格式,于是攻击者只制作含有特定代码的文档上传即可触发漏洞。

这名研究人员表示利用漏洞可以用来窃取谷歌的敏感信息,同时也可以用来袭击谷歌员工账号渗透谷歌内网。

跨站攻击只是前菜:

当然表面上这只是个跨站脚本攻击漏洞,但实际上在服务配置过程中谷歌把这个发票网站托管在某个主域下。

这个问题会导致攻击者创建个账户并成功登录后即可在谷歌网站间移动,相对来说这个问题比跨站攻击更大。

也正是这次跨站攻击被发现谷歌决定把应用架构重新调整并隔离开,防止再出现类似漏洞后产生更大的影响。

此外谷歌基于安全考虑还决定把用户资料改到谷歌云平台存储,这样变成类似沙盒环境可彻底规避跨站攻击。

本文来源 蓝点网,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
已赞1
哇哦恭喜您已成功屏蔽了蓝点网的小广告
   
百度网盘不限速下载器PanDownload v2.1.0版发布 满速下载网盘文件你家的宽带可能已经支持IPv6协议要不要设置试试看如何禁止系统自动更新到Windows 10 Version 1809版[视频]生命在于折腾系列 虚拟机里玩谷歌原生版安卓系统

评论:

1 条评论,访客:1 条,站长:0 条
  1. fudashuai
    fudashuai发布于: 
    Maxthon 5.2.7.3000 Maxthon 5.2.7.3000 Windows 10 64位版 Windows 10 64位版

    16岁?刚刚参加工作?

发表评论