0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

谷歌的发票提交门户中爆出危险的XSS漏洞

pIuy_EAQapp 来源:YXQ 2019-06-17 08:55 次阅读

据外媒报道,一位年轻的安全研究员在谷歌的一个后端应用程序中发现了一个安全漏洞。如果被黑客利用,该漏洞可能会让黑客窃取谷歌内部应用程序的员工cookie并劫持账户,发起鱼叉式钓鱼攻击,并有可能进入谷歌内部网络的其他部分。

今年2月,安全研究人员Thomas Orlita发现了这个攻击途径。漏洞在4月中旬已修复,但直到现在才公布。该安全漏洞为XSS(跨站点脚本)漏洞,影响了谷歌发票提交门户,谷歌的业务合作伙伴在此处提交发票。

大多数XSS漏洞被认为是良性的,但也有少数情况下,这些类型的漏洞会导致严重的后果。

其中一个漏洞就是Orlita的发现。研究人员表示,恶意威胁行动者可将格式不正确的文件上传到谷歌发票提交门户。

攻击者使用代理可以在表单提交和验证操作完成后立即拦截上传的文件,并将文档从PDF修改为HTML,注入XSS恶意负载。

数据最终将存储在谷歌的发票系统后端,并在员工试图查看它时自动执行。Orlita表示,员工登录时在googleplex.com子域名上执行XSS漏洞,攻击者能够访问该子域名上的dashboard,从而查看和管理发票。根据googleplex.com上配置cookie的方式,黑客还可以访问该域中托管的其他内部应用程序。

总的来说,就像大多数XSS安全漏洞一样,这个漏洞的严重程度依赖于黑客的技能水平。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 谷歌
    +关注

    关注

    27

    文章

    6139

    浏览量

    105058
  • XSS
    XSS
    +关注

    关注

    0

    文章

    24

    浏览量

    2366

原文标题:黑客利用XSS漏洞,可访问谷歌的内部网络

文章出处:【微信号:EAQapp,微信公众号:E安全】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    常见的漏洞分享

    #SPF邮件伪造漏洞 windows命令: nslookup -type=txt xxx.com linux命令: dig -t txt huawei.com 发现spf最后面跟着~all,代表有
    的头像 发表于 11-21 15:39 27次阅读
    常见的<b class='flag-5'>漏洞</b>分享

    漏洞扫描一般采用的技术是什么

    漏洞扫描是一种安全实践,用于识别计算机系统、网络或应用程序的安全漏洞。以下是一些常见的漏洞扫描技术: 自动化漏洞扫描 : 网络扫描 :使用
    的头像 发表于 09-25 10:27 284次阅读

    漏洞扫描的主要功能是什么

    漏洞扫描是一种网络安全技术,用于识别计算机系统、网络或应用程序的安全漏洞。这些漏洞可能被恶意用户利用来获取未授权访问、数据泄露或其他形式的攻击。
    的头像 发表于 09-25 10:25 299次阅读

    内核程序漏洞介绍

    电子发烧友网站提供《内核程序漏洞介绍.pdf》资料免费下载
    发表于 08-12 09:38 0次下载

    IP 地址在XSS的利用与防范

    攻击(XSS)概述: XSS攻击是一种通过在目标网站注入恶意脚本代码,当用户访问该网站时,恶意代码在用户浏览器执行的攻击方式。攻击者可以窃取用户的会话信息、Cookie、浏览器历史记录等敏感数据,或者进行其他恶意操作。 IP
    的头像 发表于 08-07 16:43 200次阅读

    GitLab修复多重安全隐患,呼吁用户升级至最新版

    其中,高风险漏洞为CVE-2024-4835,主要存放在VS代码编辑器(Web IDE)的,攻击者可通过此漏洞进行跨站点脚本(XSS)攻击,从而获取对用户账户的完全控制权。
    的头像 发表于 05-24 17:00 865次阅读

    微软去年提交1128个漏洞,&quot;提权&quot;和&quot;远程代码执行&quot;最为常见

    据BeyondTrust安全平台统计显示,微软于2023年共报告漏洞1128项,相较于2022年的1292个略微下滑5%,但总漏洞数仍维持在历史高位。值得注意的是,NIST通用漏洞评级系统
    的头像 发表于 04-29 16:11 389次阅读

    谷歌奖励1000万美元发现漏洞的安全专家

    值得注意的是,2023年度漏洞报告的最优奖项高达113337美元,加上自计划启动至今历年累积的5.9亿美元奖金,其中Android相关内容尤其显著,更有近340万美元的奖金熠熠生辉,用以鼓励专家们积极研究安卓漏洞
    的头像 发表于 03-13 14:44 471次阅读

    谷歌交互世界模型重磅发布

    谷歌模型
    北京中科同志科技股份有限公司
    发布于 :2024年02月28日 09:13:06

    苹果承认GPU存在安全漏洞

    苹果公司近日确认,部分设备的图形处理器存在名为“LeftoverLocals”的安全漏洞。这一漏洞可能影响由苹果、高通、AMD和Imagination制造的多种图形处理器。根据报告,iPhone 12和M2 MacBook A
    的头像 发表于 01-18 14:26 631次阅读

    微软2024年首个补丁周二修复49项安全漏洞,其中2项为严重级别

    值得关注的是,编号为 CVE-2024-20674 的 Windows Kerberos 漏洞 CVSS 评分为 9,可谓当之无愧的“年度最危险漏洞”。据悉,此漏洞可使黑客发动中间人攻
    的头像 发表于 01-12 14:43 878次阅读

    汽车网络安全:防止汽车软件漏洞

    汽车网络安全在汽车开发至关重要,尤其是在 汽车软件 日益互联的情况下。在这篇博客,我们将分享如何防止汽车网络安全漏洞。 静态分析工具有助于执行关键的汽车编码指南(如MISRA和AUTOSAR C++14),并协助遵守功能安全
    的头像 发表于 12-21 16:12 1059次阅读
    汽车网络安全:防止汽车软件<b class='flag-5'>中</b>的<b class='flag-5'>漏洞</b>

    什么是跨站脚本攻击?一篇带你了解什么叫做XSS

    XSS作为OWASP TOP 10之一。
    的头像 发表于 12-20 09:49 1375次阅读
    什么是跨站脚本攻击?一篇带你了解什么叫做<b class='flag-5'>XSS</b>

    git commit代码提交规范

    接下来我就来实践一下,首先我这里使用的是pnpm安装依赖的。今天主要是在提交代码时稍微自动化一点,并且让提交规范统一一些。
    的头像 发表于 12-19 09:45 627次阅读
    git commit代码<b class='flag-5'>提交</b>规范

    如何消除内存安全漏洞

    “MSL 可以消除内存安全漏洞。因此,过渡到 MSL 可能会大大降低投资于旨在减少这些漏洞或将其影响降至最低的活动的必要性。
    发表于 12-12 10:29 711次阅读
    如何消除内存安全<b class='flag-5'>漏洞</b>