搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評論與回復
      VIP于 到期 續(xù)費
      登錄后你可以
      • 下載海量資料
      • 學習在線課程
      • 觀看技術視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動

      完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

      3天內不再提示

      谷歌的發(fā)票提交門戶中爆出危險的XSS漏洞

      pIuy_EAQapp ? 來源:YXQ ? 2019-06-17 08:55 ? 次閱讀

      據(jù)外媒報道,一位年輕的安全研究員在谷歌的一個后端應用程序中發(fā)現(xiàn)了一個安全漏洞。如果被黑客利用,該漏洞可能會讓黑客竊取谷歌內部應用程序的員工cookie并劫持賬戶,發(fā)起魚叉式釣魚攻擊,并有可能進入谷歌內部網絡的其他部分。

      今年2月,安全研究人員Thomas Orlita發(fā)現(xiàn)了這個攻擊途徑。漏洞在4月中旬已修復,但直到現(xiàn)在才公布。該安全漏洞為XSS(跨站點腳本)漏洞,影響了谷歌發(fā)票提交門戶,谷歌的業(yè)務合作伙伴在此處提交發(fā)票。

      大多數(shù)XSS漏洞被認為是良性的,但也有少數(shù)情況下,這些類型的漏洞會導致嚴重的后果。

      其中一個漏洞就是Orlita的發(fā)現(xiàn)。研究人員表示,惡意威脅行動者可將格式不正確的文件上傳到谷歌發(fā)票提交門戶。

      攻擊者使用代理可以在表單提交和驗證操作完成后立即攔截上傳的文件,并將文檔從PDF修改為HTML,注入XSS惡意負載。

      數(shù)據(jù)最終將存儲在谷歌的發(fā)票系統(tǒng)后端,并在員工試圖查看它時自動執(zhí)行。Orlita表示,員工登錄時在googleplex.com子域名上執(zhí)行XSS漏洞,攻擊者能夠訪問該子域名上的dashboard,從而查看和管理發(fā)票。根據(jù)googleplex.com上配置cookie的方式,黑客還可以訪問該域中托管的其他內部應用程序。

      總的來說,就像大多數(shù)XSS安全漏洞一樣,這個漏洞的嚴重程度依賴于黑客的技能水平。

      聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
      • 谷歌
        +關注

        關注

        27

        文章

        6169

        瀏覽量

        105435
      • XSS
        XSS
        +關注

        關注

        0

        文章

        24

        瀏覽量

        2384

      原文標題:黑客利用XSS漏洞,可訪問谷歌的內部網絡

      文章出處:【微信號:EAQapp,微信公眾號:E安全】歡迎添加關注!文章轉載請注明出處。

      收藏 人收藏

        評論

        相關推薦

        蘋果為谷歌支付數(shù)十億美元辯護,參與搜索案反壟斷審判

        億美元。 在周一于華盛頓提交的法庭文件,蘋果的律師明確表示,公司不能依賴谷歌來維護這一協(xié)議。他們強調,無論谷歌是否繼續(xù)支付這筆費用,蘋果都沒有打算建立自己的搜索引擎來與
        的頭像 發(fā)表于 12-26 10:41 ?130次閱讀

        入門web安全筆記分享

        請求偽造CSRF 五、應用邏輯漏洞 六、跨站腳本攻擊XSS 七、SQL 注入 八、開放重定向漏洞 九、子域劫持
        的頭像 發(fā)表于 12-03 17:04 ?279次閱讀
        入門web安全筆記分享

        常見的漏洞分享

        #SPF郵件偽造漏洞 windows命令: nslookup -type=txt xxx.com linux命令: dig -t txt huawei.com 發(fā)現(xiàn)spf最后面跟著~all,代表有
        的頭像 發(fā)表于 11-21 15:39 ?156次閱讀
        常見的<b class='flag-5'>漏洞</b>分享

        高通警告64款芯片存在“零日漏洞”風險

        近日,高通公司發(fā)布了一項重要的安全警告,指出其多達64款芯片組存在一項潛在的嚴重“零日漏洞”,編號為CVE-2024-43047。這一漏洞位于數(shù)字信號處理器(DSP)服務,已經出現(xiàn)
        的頭像 發(fā)表于 10-14 15:48 ?2489次閱讀

        漏洞掃描一般采用的技術是什么

        漏洞掃描是一種安全實踐,用于識別計算機系統(tǒng)、網絡或應用程序的安全漏洞。以下是一些常見的漏洞掃描技術: 自動化漏洞掃描 : 網絡掃描 :使用
        的頭像 發(fā)表于 09-25 10:27 ?377次閱讀

        漏洞掃描的主要功能是什么

        漏洞掃描是一種網絡安全技術,用于識別計算機系統(tǒng)、網絡或應用程序的安全漏洞。這些漏洞可能被惡意用戶利用來獲取未授權訪問、數(shù)據(jù)泄露或其他形式的攻擊。
        的頭像 發(fā)表于 09-25 10:25 ?416次閱讀

        內核程序漏洞介紹

        電子發(fā)燒友網站提供《內核程序漏洞介紹.pdf》資料免費下載
        發(fā)表于 08-12 09:38 ?0次下載

        IP 地址在XSS的利用與防范

        攻擊(XSS)概述: XSS攻擊是一種通過在目標網站注入惡意腳本代碼,當用戶訪問該網站時,惡意代碼在用戶瀏覽器執(zhí)行的攻擊方式。攻擊者可以竊取用戶的會話信息、Cookie、瀏覽器歷史記錄等敏感數(shù)據(jù),或者進行其他惡意操作。 IP
        的頭像 發(fā)表于 08-07 16:43 ?263次閱讀

        GitLab修復多重安全隱患,呼吁用戶升級至最新版

        其中,高風險漏洞為CVE-2024-4835,主要存放在VS代碼編輯器(Web IDE)的,攻擊者可通過此漏洞進行跨站點腳本(XSS)攻擊,從而獲取對用戶賬戶的完全控制權。
        的頭像 發(fā)表于 05-24 17:00 ?920次閱讀

        微軟去年提交1128個漏洞,&quot;提權&quot;和&quot;遠程代碼執(zhí)行&quot;最為常見

        據(jù)BeyondTrust安全平臺統(tǒng)計顯示,微軟于2023年共報告漏洞1128項,相較于2022年的1292個略微下滑5%,但總漏洞數(shù)仍維持在歷史高位。值得注意的是,NIST通用漏洞評級系統(tǒng)
        的頭像 發(fā)表于 04-29 16:11 ?453次閱讀

        谷歌獎勵1000萬美元發(fā)現(xiàn)漏洞的安全專家

        值得注意的是,2023年度漏洞報告的最優(yōu)獎項高達113337美元,加上自計劃啟動至今歷年累積的5.9億美元獎金,其中Android相關內容尤其顯著,更有近340萬美元的獎金熠熠生輝,用以鼓勵專家們積極研究安卓漏洞。
        的頭像 發(fā)表于 03-13 14:44 ?537次閱讀

        谷歌交互世界模型重磅發(fā)布

        谷歌模型
        北京中科同志科技股份有限公司
        發(fā)布于 :2024年02月28日 09:13:06

        OpenAI和谷歌,AI對線的飛馳人生

        卷王谷歌,為什么一步錯,步步錯?
        的頭像 發(fā)表于 02-27 09:50 ?2082次閱讀
        OpenAI和<b class='flag-5'>谷歌</b>,AI對線<b class='flag-5'>中</b>的飛馳人生

        蘋果承認GPU存在安全漏洞

        蘋果公司近日確認,部分設備的圖形處理器存在名為“LeftoverLocals”的安全漏洞。這一漏洞可能影響由蘋果、高通、AMD和Imagination制造的多種圖形處理器。根據(jù)報告,iPhone 12和M2 MacBook A
        的頭像 發(fā)表于 01-18 14:26 ?689次閱讀

        微軟2024年首個補丁周二修復49項安全漏洞,其中2項為嚴重級別

        值得關注的是,編號為 CVE-2024-20674 的 Windows Kerberos 漏洞 CVSS 評分為 9,可謂當之無愧的“年度最危險漏洞”。據(jù)悉,此漏洞可使黑客發(fā)動中間人攻
        的頭像 發(fā)表于 01-12 14:43 ?942次閱讀