谷歌的发票提交门户中爆出危险的XSS漏洞

据外媒报道，一位年轻的安全研究员在谷歌的一个后端应用程序中发现了一个安全漏洞。如果被黑客利用，该漏洞可能会让黑客窃取谷歌内部应用程序的员工cookie并劫持账户，发起鱼叉式钓鱼攻击，并有可能进入谷歌内部网络的其他部分。

今年2月，安全研究人员Thomas Orlita发现了这个攻击途径。漏洞在4月中旬已修复，但直到现在才公布。该安全漏洞为XSS（跨站点脚本）漏洞，影响了谷歌发票提交门户，谷歌的业务合作伙伴在此处提交发票。

大多数XSS漏洞被认为是良性的，但也有少数情况下，这些类型的漏洞会导致严重的后果。

其中一个漏洞就是Orlita的发现。研究人员表示，恶意威胁行动者可将格式不正确的文件上传到谷歌发票提交门户。

攻击者使用代理可以在表单提交和验证操作完成后立即拦截上传的文件，并将文档从PDF修改为HTML，注入XSS恶意负载。

数据最终将存储在谷歌的发票系统后端，并在员工试图查看它时自动执行。Orlita表示，员工登录时在googleplex.com子域名上执行XSS漏洞，攻击者能够访问该子域名上的dashboard，从而查看和管理发票。根据googleplex.com上配置cookie的方式，黑客还可以访问该域中托管的其他内部应用程序。

总的来说，就像大多数XSS安全漏洞一样，这个漏洞的严重程度依赖于黑客的技能水平。

漏洞提交危险网络

免责声明：本网信息来自于互联网，目的在于传递更多信息，并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。