一名年轻的捷克猎人在谷歌的一个后端应用程序中发现了一个安全漏洞。如果被恶意威胁利用,该漏洞可能允许黑客窃取劫持帐户的谷歌员工的内部应用程序和cookie,发起极具说服力的鱼叉式网络钓鱼尝试,并可能访问谷歌内部网络的其他部分。
今年2月,安全研究员托马斯奥利塔(Thomas Orlita)发现了这个攻击载体,并在4月中旬修复了它,但直到现在才公布。
谷歌发票门户中的XSS
该安全漏洞被描述为一个跨站点脚本(XSS)漏洞,它影响谷歌发票提交门户网站,这是一个公共网站,谷歌根据合同协议重定向业务合作伙伴提交的发票。
大多数XSS缺陷被认为是良性的,但在极少数情况下,这些类型的漏洞可能会导致严重的后果。
其中一个案例就是奥利塔的发现。该研究人员表示,恶意威胁行为者可以通过“上传发票”字段在谷歌发票提交门户中上传格式错误的文件。
使用代理,攻击者可以在表单提交和验证操作后立即拦截上传的文件,并将文档从PDF修改为HTML,然后XSS恶意负载。
这些数据最终将被存储在谷歌的发票后端,当员工试图查看时,这些数据将被自动执行。
谷歌的内部网络可能面临风险。
奥利塔通过电子邮件告诉ZDNet:“因为当员工登录时,XSS是在googleplex.com子域上执行的,所以攻击者应该能够访问这个子域中的仪表板,在那里可以查看和管理发票。”。
研究人员补充说:“根据googleplex.com上cookie的配置,该域上托管的其他内部应用程序也可能被访问。”
由于大多数谷歌内部应用程序都托管在googleplex.com域上,这为攻击者提供了广泛的可能性。
但是,总而言之,像大多数XSS安全漏洞一样,该漏洞将取决于威胁参与者的技能水平和转向更复杂攻击的能力。
“当然,影响的严重程度取决于它被利用来访问其内部网站的程度,”Orlita告诉ZDNet。例如,攻击者可能会对员工进行网络钓鱼攻击