黑客運用XSS破綻,可拜訪Google的內部收集

尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️

加入LINE好友

摘要:小編來報:安全研究人員在Google的發票提交門戶中發現了危險的XSS漏洞。Orlita表示,員工登錄時在googleplex.com子域名上執行XSS漏洞,攻擊者能夠訪問該子域名上的dashboard,從而查看和管理髮票。

更多全球網路安全資訊盡在E安全官網www.easyaq.com

小編來報:安全研究人員在Google的發票提交門戶中發現了危險的XSS漏洞。

據外媒報導,一位年輕的安全研究員在Google的一個後端應用程序中發現了一個安全漏洞。如果被黑客利用,該漏洞可能會讓黑客竊取Google內部應用程序的員工cookie並劫持帳戶,發起魚叉式釣魚攻擊,並有可能進入Google內部網路的其他部分。

黑客利用XSS漏洞,可訪問谷歌的內部網絡

今年2月,安全研究人員Thomas Orlita發現了這個攻擊途徑。漏洞在4月中旬已修復,但直到現在才公布。該安全漏洞為XSS(跨站點腳本)漏洞,影響了Google發票提交門戶,Google的業務合作夥伴在此處提交發票。

大多數XSS漏洞被認為是良性的,但也有少數情況下,這些類型的漏洞會導致嚴重的後果。

其中一個漏洞就是Orlita的發現。研究人員表示,惡意威脅行動者可將格式不正確的文件上傳到Google發票提交門戶。

黑客利用XSS漏洞,可訪問谷歌的內部網絡

攻擊者使用代理可以在表單提交和驗證操作完成後立即攔截上傳的文件,並將文檔從PDF修改為HTML,注入XSS惡意負載。

數據最終將存儲在Google的發票系統後端,並在員工試圖查看它時自動執行。Orlita表示,員工登錄時在googleplex.com子域名上執行XSS漏洞,攻擊者能夠訪問該子域名上的dashboard,從而查看和管理髮票。根據googleplex.com上配置cookie的方式,黑客還可以訪問該域中托管的其他內部應用程序。

總的來說,就像大多數XSS安全漏洞一樣,這個漏洞的嚴重程度依賴於黑客的技能水平。

註:本文由E安全編譯報導,轉載請註明原文地址

https://www.easyaq.com

推薦閱讀:

  • 非傳統的選擇:支付贖金也可作為恢復數據的選項之一

  • GCHQ的漏洞裁定流程

  • 大型飛機零部件供應商ASCO遭勒索軟件攻擊,1000名員工在家等待恢復工作

  • 美國眾議院在能源支出法案中重點關注網路安全研發

  • 手機麥克風能「偷聽」你在手機上輸入的內容!

  • 油罐監控設備存在嚴重漏洞,易受黑客攻擊

▼點擊「閱讀原文」 查看更多精彩內容

黑客利用XSS漏洞,可訪問谷歌的內部網絡

喜歡記得打賞小E哦!

>黑客利用XSS漏洞,可訪問Google的內部網路

About 尋夢園
尋夢園是台灣最大的聊天室及交友社群網站。 致力於發展能夠讓會員們彼此互動、盡情分享自我的平台。 擁有數百間不同的聊天室 ,讓您隨時隨地都能找到志同道合的好友!