亚洲免费闲人蜜桃,国产日韩欧美久久一区

據(jù)外媒報(bào)道，一位年輕的安全研究員在谷歌的一個(gè)后端應(yīng)用程序中發(fā)現(xiàn)了一個(gè)安全漏洞。如果被黑客利用，該漏洞可能會(huì)讓黑客竊取谷歌內(nèi)部應(yīng)用程序的員工cookie并劫持賬戶，發(fā)起魚叉式釣魚攻擊，并有可能進(jìn)入谷歌內(nèi)部網(wǎng)絡(luò)的其他部分。

今年2月，安全研究人員Thomas Orlita發(fā)現(xiàn)了這個(gè)攻擊途徑。漏洞在4月中旬已修復(fù)，但直到現(xiàn)在才公布。該安全漏洞為XSS（跨站點(diǎn)腳本）漏洞，影響了谷歌發(fā)票提交門戶，谷歌的業(yè)務(wù)合作伙伴在此處提交發(fā)票。

大多數(shù)XSS漏洞被認(rèn)為是良性的，但也有少數(shù)情況下，這些類型的漏洞會(huì)導(dǎo)致嚴(yán)重的后果。

其中一個(gè)漏洞就是Orlita的發(fā)現(xiàn)。研究人員表示，惡意威脅行動(dòng)者可將格式不正確的文件上傳到谷歌發(fā)票提交門戶。

攻擊者使用代理可以在表單提交和驗(yàn)證操作完成后立即攔截上傳的文件，并將文檔從PDF修改為HTML，注入XSS惡意負(fù)載。

數(shù)據(jù)最終將存儲(chǔ)在谷歌的發(fā)票系統(tǒng)后端，并在員工試圖查看它時(shí)自動(dòng)執(zhí)行。Orlita表示，員工登錄時(shí)在googleplex.com子域名上執(zhí)行XSS漏洞，攻擊者能夠訪問(wèn)該子域名上的dashboard，從而查看和管理發(fā)票。根據(jù)googleplex.com上配置cookie的方式，黑客還可以訪問(wèn)該域中托管的其他內(nèi)部應(yīng)用程序。

總的來(lái)說(shuō)，就像大多數(shù)XSS安全漏洞一樣，這個(gè)漏洞的嚴(yán)重程度依賴于黑客的技能水平。

聲明：本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人，不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用，如有內(nèi)容侵權(quán)或者其他違規(guī)問(wèn)題，請(qǐng)聯(lián)系本站處理。舉報(bào)投訴

谷歌

谷歌

+關(guān)注

關(guān)注
27

文章
6106

瀏覽量
104811
XSS

XSS

+關(guān)注

關(guān)注
0

文章
24

瀏覽量
2358

原文標(biāo)題：黑客利用XSS漏洞，可訪問(wèn)谷歌的內(nèi)部網(wǎng)絡(luò)

文章出處：【微信號(hào)：EAQapp，微信公眾號(hào)：E安全】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。

評(píng)論

相關(guān)推薦

漏洞掃描一般采用的技術(shù)是什么

漏洞掃描是一種安全實(shí)踐，用于識(shí)別計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用程序中的安全漏洞。以下是一些常見(jiàn)的漏洞掃描技術(shù)：自動(dòng)化漏洞掃描：網(wǎng)絡(luò)掃描：使用

發(fā)表于 09-25 10:27 ?236次閱讀

漏洞掃描的主要功能是什么

漏洞掃描是一種網(wǎng)絡(luò)安全技術(shù)，用于識(shí)別計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用程序中的安全漏洞。這些漏洞可能被惡意用戶利用來(lái)獲取未授權(quán)訪問(wèn)、數(shù)據(jù)泄露或其他形式的攻擊。漏

發(fā)表于 09-25 10:25 ?230次閱讀

內(nèi)核程序漏洞介紹

電子發(fā)燒友網(wǎng)站提供《內(nèi)核程序漏洞介紹.pdf》資料免費(fèi)下載

發(fā)表于 08-12 09:38 ?0次下載

IP 地址在XSS中的利用與防范

攻擊（XSS）概述： XSS攻擊是一種通過(guò)在目標(biāo)網(wǎng)站注入惡意腳本代碼，當(dāng)用戶訪問(wèn)該網(wǎng)站時(shí)，惡意代碼在用戶瀏覽器中執(zhí)行的攻擊方式。攻擊者可以竊取用戶的會(huì)話信息、Cookie、瀏覽器歷史記錄等敏感數(shù)據(jù)，或者進(jìn)行其他惡意操作。 IP

發(fā)表于 08-07 16:43 ?173次閱讀

GitLab修復(fù)多重安全隱患，呼吁用戶升級(jí)至最新版

其中，高風(fēng)險(xiǎn)漏洞為CVE-2024-4835，主要存放在VS代碼編輯器（Web IDE）中的，攻擊者可通過(guò)此漏洞進(jìn)行跨站點(diǎn)腳本（XSS）攻擊，從而獲取對(duì)用戶賬戶的完全控制權(quán)。

發(fā)表于 05-24 17:00 ?836次閱讀

微軟去年提交1128個(gè)漏洞，"提權(quán)"和"遠(yuǎn)程代碼執(zhí)行"最為常見(jiàn)

據(jù)BeyondTrust安全平臺(tái)統(tǒng)計(jì)顯示，微軟于2023年共報(bào)告漏洞1128項(xiàng)，相較于2022年的1292個(gè)略微下滑5%，但總漏洞數(shù)仍維持在歷史高位。值得注意的是，NIST通用漏洞評(píng)級(jí)系統(tǒng)中

發(fā)表于 04-29 16:11 ?344次閱讀

谷歌獎(jiǎng)勵(lì)1000萬(wàn)美元發(fā)現(xiàn)漏洞的安全專家

值得注意的是，2023年度漏洞報(bào)告的最優(yōu)獎(jiǎng)項(xiàng)高達(dá)113337美元，加上自計(jì)劃啟動(dòng)至今歷年累積的5.9億美元獎(jiǎng)金，其中Android相關(guān)內(nèi)容尤其顯著，更有近340萬(wàn)美元的獎(jiǎng)金熠熠生輝，用以鼓勵(lì)專家們積極研究安卓漏洞。

發(fā)表于 03-13 14:44 ?418次閱讀

谷歌交互世界模型重磅發(fā)布

谷歌模型

北京中科同志科技股份有限公司
發(fā)布于 :2024年02月28日 09:13:06

蘋果承認(rèn)GPU存在安全漏洞

蘋果公司近日確認(rèn)，部分設(shè)備中的圖形處理器存在名為“LeftoverLocals”的安全漏洞。這一漏洞可能影響由蘋果、高通、AMD和Imagination制造的多種圖形處理器。根據(jù)報(bào)告，iPhone 12和M2 MacBook A

發(fā)表于 01-18 14:26 ?585次閱讀

微軟2024年首個(gè)補(bǔ)丁周二修復(fù)49項(xiàng)安全漏洞，其中2項(xiàng)為嚴(yán)重級(jí)別

值得關(guān)注的是，編號(hào)為 CVE-2024-20674 的 Windows Kerberos 漏洞 CVSS 評(píng)分為 9，可謂當(dāng)之無(wú)愧的“年度最危險(xiǎn)漏洞”。據(jù)悉，此漏洞可使黑客發(fā)動(dòng)中間人攻

發(fā)表于 01-12 14:43 ?840次閱讀

汽車網(wǎng)絡(luò)安全：防止汽車軟件中的漏洞

汽車網(wǎng)絡(luò)安全在汽車開發(fā)中至關(guān)重要，尤其是在汽車軟件日益互聯(lián)的情況下。在這篇博客中，我們將分享如何防止汽車網(wǎng)絡(luò)安全漏洞。靜態(tài)分析工具有助于執(zhí)行關(guān)鍵的汽車編碼指南（如MISRA和AUTOSAR C++14），并協(xié)助遵守功能安全

發(fā)表于 12-21 16:12 ?1024次閱讀

什么是跨站腳本攻擊？一篇帶你了解什么叫做XSS

XSS作為OWASP TOP 10之一。

發(fā)表于 12-20 09:49 ?1294次閱讀

git commit代碼提交規(guī)范

接下來(lái)我就來(lái)實(shí)踐一下，首先我這里使用的是pnpm安裝依賴的。今天主要是在提交代碼時(shí)稍微自動(dòng)化一點(diǎn)，并且讓提交規(guī)范統(tǒng)一一些。

發(fā)表于 12-19 09:45 ?554次閱讀

如何消除內(nèi)存安全漏洞

“MSL 可以消除內(nèi)存安全漏洞。因此，過(guò)渡到 MSL 可能會(huì)大大降低投資于旨在減少這些漏洞或?qū)⑵溆绊懡抵磷畹偷幕顒?dòng)的必要性。

發(fā)表于 12-12 10:29 ?671次閱讀

如何處理重現(xiàn)使用仿真發(fā)現(xiàn)的死鎖漏洞

在上一部分中，我們重點(diǎn)討論了在組件上設(shè)置形式驗(yàn)證的最佳實(shí)踐。那么現(xiàn)在設(shè)置已經(jīng)準(zhǔn)備就緒，協(xié)議檢查器可以避免不切實(shí)際的情況（這也有助于發(fā)現(xiàn)一個(gè)新漏洞），基本抽象也可以提高性能?，F(xiàn)在的任務(wù)便是如何處理重現(xiàn)

發(fā)表于 11-02 09:17 ?445次閱讀