XSS-Schwachstelle erlaubt eindringende Google die internen Systeme

Bereits im Februar dieses Jahres, 16-jährige Bug-Jäger aus ihren Tschechien, Thomas Orlita, eine gefährliche Schwachstelle in einer Google-Back-End-Anwendung entdeckt.

Discovered Fehler erlaubt Cookies von unternehmensinternen Anwendungen und Benutzer-Cookies zu stehlen, und mit ihrer Hilfe organisieren Angriffe und Zugriff auf andere Teile von Google internen Netzwerk Phishing.

Das Problem wurde im April festgelegt, und, nachdem er einige Zeit warten, Orlita entschieden Einzelheiten der entdeckten Schwachstellen aufzudecken öffentlich.

Die Sicherheitslücke war XSS (Cross-Site Scripting) auf der Google Rechnung Submission Portal (gist-uploadmyinvoice.appspot.com), , durch die Geschäftspartner des Unternehmens einreichen Rechnungen für die Zahlung unter bereits angeordneten Verträge.

Die Forscher entdeckten, dass Angreifer speziell modifizierte Dateien hochladen könnte die Verwendung von Laden Rechnungsfeld.

Google Form mit mehreren Eingängen
Google Form mit mehreren Eingängen

Unter Verwendung eines Proxy, Angreifer könnten heruntergeladenen Datei abfangen unmittelbar nach dem Formular hinzugefügt, aber vor der Validierung erfolgte.

“Neben Texteingabe, es gibt auch eine Eingabe eine PDF-Datei zur Auswahl. Obwohl es ist in einer Weise, die nur das Hochladen ausgewählt werden PDF-Dateien. Da dies nur die Validierung Front-End, es hält uns nicht davon ab Dateityp ändern, während für das Hochladen POST-Anfrage zu senden. Sobald wir wählen Sie eine beliebige PDF-Datei, eine Upload-Anforderung wird gefeuert. Wir können die Anforderung abfangen einen Web-Proxy-Debugger und die Dateinamen ändern und die Inhalte von PDF .html”, – so Thomas Orlita.

Nachdem das Dokument Modifizieren von PDF zu HTML, Daten fällt auf Google-Backend, wo sie automatisch ausgeführt wird, wenn die Mitarbeiter versuchten, sie zu sehen.

«Der XSS Fehler wurde auf der googleplex.com Sub-Domain ausgelöst, Sagen, xxx.googleplex.com, wenn ein Mitarbeiter angemeldet am System. Da beliebiger Javascript kann auf dieser Sub-Domain durchgeführt werden, ein Angreifer Zugriff auf das Bedienfeld auf dieser Sub-Domain, wo dies möglich ist Konten anzeigen und verwalten. In Abhängigkeit von den Cookie-Einstellungen auf googleplex.com, es war auch möglich, andere interne Anwendungen auf dieser Domain gehostet zuzugreifen“, – Orlita erklärt.

Google einen Fehler behoben.

Der XSS ist jetzt auf einer Sandbox Domäne, in der XSS keine Gefahr für den Anwender darstellt.

Quelle: https://appio.dev

Über Trojan Mörder

Tragen Sie Trojan Killer-Portable auf Ihrem Memory-Stick. Achten Sie darauf, dass Sie in der Lage sind, Ihr PC keine Cyber-Bedrohungen widerstehen zu helfen, wo immer Sie sind.

überprüfen Sie auch

MageCart auf der Heroku Cloud Platform

Die Forscher fanden mehrere MageCart Web Skimmer Auf Heroku Cloud Platform

Forscher an Malwarebytes berichteten über mehr MageCart Web-Skimmer auf der Heroku Cloud-Plattform zu finden, …

Android Spyware CallerSpy

CallerSpy Spyware Masken als Android-Chat-Anwendung

Trend Micro Experten entdeckt die Malware CallerSpy, die Masken als Android-Chat-Anwendung, und, …

Hinterlasse eine Antwort