当前位置:首页-正文

16岁的安全研究人员发现谷歌后台系统存在XSS漏洞可渗透谷歌内网

近期谷歌披露当前已经修复的某个安全漏洞,这枚安全漏洞属于跨站脚本攻击可用来袭击谷歌员工和渗透等。

值得注意的是这枚安全漏洞还是个仅只有 16 岁的研究人员发现的 ,  当然漏洞没有被外泄而是尽职通报谷歌。

谷歌在接到通报后随后将这枚漏洞彻底修复,当然现在也只是在彻底修复后谷歌才会把漏洞的细节公布披露。

谷歌的跨站脚本攻击:

研究人员透露谷歌某个用于上传发票的网站存在配置不当,原本这个网站要求用户上传的是.PDF格式的文档。

采用这类格式的好处是既可以接收内容又可以规避跨站脚本攻击,但是似乎开发人员在后台配置时存在错误。

当用户把文档上传后系统自动转换为.HTML格式,于是攻击者只制作含有特定代码的文档上传即可触发漏洞。

这名研究人员表示利用漏洞可以用来窃取谷歌的敏感信息,同时也可以用来袭击谷歌员工账号渗透谷歌内网。

跨站攻击只是前菜:

当然表面上这只是个跨站脚本攻击漏洞,但实际上在服务配置过程中谷歌把这个发票网站托管在某个主域下。

这个问题会导致攻击者创建个账户并成功登录后即可在谷歌网站间移动,相对来说这个问题比跨站攻击更大。

也正是这次跨站攻击被发现谷歌决定把应用架构重新调整并隔离开,防止再出现类似漏洞后产生更大的影响。

此外谷歌基于安全考虑还决定把用户资料改到谷歌云平台存储,这样变成类似沙盒环境可彻底规避跨站攻击。

本文来源蓝点网,由山外的鸭子哥转载或编译发布,如需转载请联系原作者。

相关文章

换一批