0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

谷歌的发票提交门户中爆出危险的XSS漏洞

pIuy_EAQapp 来源:YXQ 2019-06-17 08:55 次阅读

据外媒报道,一位年轻的安全研究员在谷歌的一个后端应用程序中发现了一个安全漏洞。如果被黑客利用,该漏洞可能会让黑客窃取谷歌内部应用程序的员工cookie并劫持账户,发起鱼叉式钓鱼攻击,并有可能进入谷歌内部网络的其他部分。

今年2月,安全研究人员Thomas Orlita发现了这个攻击途径。漏洞在4月中旬已修复,但直到现在才公布。该安全漏洞为XSS(跨站点脚本)漏洞,影响了谷歌发票提交门户,谷歌的业务合作伙伴在此处提交发票。

大多数XSS漏洞被认为是良性的,但也有少数情况下,这些类型的漏洞会导致严重的后果。

其中一个漏洞就是Orlita的发现。研究人员表示,恶意威胁行动者可将格式不正确的文件上传到谷歌发票提交门户。

攻击者使用代理可以在表单提交和验证操作完成后立即拦截上传的文件,并将文档从PDF修改为HTML,注入XSS恶意负载。

数据最终将存储在谷歌的发票系统后端,并在员工试图查看它时自动执行。Orlita表示,员工登录时在googleplex.com子域名上执行XSS漏洞,攻击者能够访问该子域名上的dashboard,从而查看和管理发票。根据googleplex.com上配置cookie的方式,黑客还可以访问该域中托管的其他内部应用程序。

总的来说,就像大多数XSS安全漏洞一样,这个漏洞的严重程度依赖于黑客的技能水平。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 谷歌
    +关注

    关注

    27

    文章

    6164

    浏览量

    105309
  • XSS
    XSS
    +关注

    关注

    0

    文章

    24

    浏览量

    2373

原文标题:黑客利用XSS漏洞,可访问谷歌的内部网络

文章出处:【微信号:EAQapp,微信公众号:E安全】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    入门web安全笔记分享

    请求伪造CSRF 五、应用逻辑漏洞 六、跨站脚本攻击XSS 七、SQL 注入 八、开放重定向漏洞 九、子域劫持
    的头像 发表于 12-03 17:04 255次阅读
    入门web安全笔记分享

    常见的漏洞分享

    #SPF邮件伪造漏洞 windows命令: nslookup -type=txt xxx.com linux命令: dig -t txt huawei.com 发现spf最后面跟着~all,代表有
    的头像 发表于 11-21 15:39 95次阅读
    常见的<b class='flag-5'>漏洞</b>分享

    高通警告64款芯片存在“零日漏洞”风险

    近日,高通公司发布了一项重要的安全警告,指出其多达64款芯片组存在一项潜在的严重“零日漏洞”,编号为CVE-2024-43047。这一漏洞位于数字信号处理器(DSP)服务,已经出现
    的头像 发表于 10-14 15:48 2466次阅读

    漏洞扫描一般采用的技术是什么

    漏洞扫描是一种安全实践,用于识别计算机系统、网络或应用程序的安全漏洞。以下是一些常见的漏洞扫描技术: 自动化漏洞扫描 : 网络扫描 :使用
    的头像 发表于 09-25 10:27 352次阅读

    漏洞扫描的主要功能是什么

    漏洞扫描是一种网络安全技术,用于识别计算机系统、网络或应用程序的安全漏洞。这些漏洞可能被恶意用户利用来获取未授权访问、数据泄露或其他形式的攻击。
    的头像 发表于 09-25 10:25 394次阅读

    内核程序漏洞介绍

    电子发烧友网站提供《内核程序漏洞介绍.pdf》资料免费下载
    发表于 08-12 09:38 0次下载

    IP 地址在XSS的利用与防范

    攻击(XSS)概述: XSS攻击是一种通过在目标网站注入恶意脚本代码,当用户访问该网站时,恶意代码在用户浏览器执行的攻击方式。攻击者可以窃取用户的会话信息、Cookie、浏览器历史记录等敏感数据,或者进行其他恶意操作。 IP
    的头像 发表于 08-07 16:43 250次阅读

    GitLab修复多重安全隐患,呼吁用户升级至最新版

    其中,高风险漏洞为CVE-2024-4835,主要存放在VS代码编辑器(Web IDE)的,攻击者可通过此漏洞进行跨站点脚本(XSS)攻击,从而获取对用户账户的完全控制权。
    的头像 发表于 05-24 17:00 908次阅读

    微软去年提交1128个漏洞,&quot;提权&quot;和&quot;远程代码执行&quot;最为常见

    据BeyondTrust安全平台统计显示,微软于2023年共报告漏洞1128项,相较于2022年的1292个略微下滑5%,但总漏洞数仍维持在历史高位。值得注意的是,NIST通用漏洞评级系统
    的头像 发表于 04-29 16:11 430次阅读

    谷歌奖励1000万美元发现漏洞的安全专家

    值得注意的是,2023年度漏洞报告的最优奖项高达113337美元,加上自计划启动至今历年累积的5.9亿美元奖金,其中Android相关内容尤其显著,更有近340万美元的奖金熠熠生辉,用以鼓励专家们积极研究安卓漏洞
    的头像 发表于 03-13 14:44 525次阅读

    谷歌交互世界模型重磅发布

    谷歌模型
    北京中科同志科技股份有限公司
    发布于 :2024年02月28日 09:13:06

    OpenAI和谷歌,AI对线的飞驰人生

    卷王谷歌,为什么一步错,步步错?
    的头像 发表于 02-27 09:50 2070次阅读
    OpenAI和<b class='flag-5'>谷歌</b>,AI对线<b class='flag-5'>中</b>的飞驰人生

    苹果承认GPU存在安全漏洞

    苹果公司近日确认,部分设备的图形处理器存在名为“LeftoverLocals”的安全漏洞。这一漏洞可能影响由苹果、高通、AMD和Imagination制造的多种图形处理器。根据报告,iPhone 12和M2 MacBook A
    的头像 发表于 01-18 14:26 677次阅读

    微软2024年首个补丁周二修复49项安全漏洞,其中2项为严重级别

    值得关注的是,编号为 CVE-2024-20674 的 Windows Kerberos 漏洞 CVSS 评分为 9,可谓当之无愧的“年度最危险漏洞”。据悉,此漏洞可使黑客发动中间人攻
    的头像 发表于 01-12 14:43 919次阅读

    变电运维管理存在的危险

    电网运行当中,其变电运行是其支架。变电站变电运维的效果直接影响到电网运行的稳定性,但变电运维工作具有复杂性的特点,其通常涉及到了电网系统运行的各个方面,其任何一个小问题未得到处理都将降低电网运行的安全与稳定。本文作者主要分析了变电运维管理危险点,提出了几点变电运维的管
    发表于 12-27 09:17 0次下载