亚洲成AV人最新无码,欧美激情aⅴ精品一区二区高清 ,国产精品福利在线观看

谷歌的發(fā)票提交門戶中爆出危險的XSS漏洞

據(jù)外媒報道，一位年輕的安全研究員在谷歌的一個后端應(yīng)用程序中發(fā)現(xiàn)了一個安全漏洞。如果被黑客利用，該漏洞可能會讓黑客竊取谷歌內(nèi)部應(yīng)用程序的員工cookie并劫持賬戶，發(fā)起魚叉式釣魚攻擊，并有可能進(jìn)入谷歌內(nèi)部網(wǎng)絡(luò)的其他部分。

今年2月，安全研究人員Thomas Orlita發(fā)現(xiàn)了這個攻擊途徑。漏洞在4月中旬已修復(fù)，但直到現(xiàn)在才公布。該安全漏洞為XSS（跨站點腳本）漏洞，影響了谷歌發(fā)票提交門戶，谷歌的業(yè)務(wù)合作伙伴在此處提交發(fā)票。

大多數(shù)XSS漏洞被認(rèn)為是良性的，但也有少數(shù)情況下，這些類型的漏洞會導(dǎo)致嚴(yán)重的后果。

其中一個漏洞就是Orlita的發(fā)現(xiàn)。研究人員表示，惡意威脅行動者可將格式不正確的文件上傳到谷歌發(fā)票提交門戶。

攻擊者使用代理可以在表單提交和驗證操作完成后立即攔截上傳的文件，并將文檔從PDF修改為HTML，注入XSS惡意負(fù)載。

數(shù)據(jù)最終將存儲在谷歌的發(fā)票系統(tǒng)后端，并在員工試圖查看它時自動執(zhí)行。Orlita表示，員工登錄時在googleplex.com子域名上執(zhí)行XSS漏洞，攻擊者能夠訪問該子域名上的dashboard，從而查看和管理發(fā)票。根據(jù)googleplex.com上配置cookie的方式，黑客還可以訪問該域中托管的其他內(nèi)部應(yīng)用程序。

總的來說，就像大多數(shù)XSS安全漏洞一樣，這個漏洞的嚴(yán)重程度依賴于黑客的技能水平。

聲明：本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人，不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用，如有內(nèi)容侵權(quán)或者其他違規(guī)問題，請聯(lián)系本站處理。舉報投訴

谷歌

谷歌

+關(guān)注

關(guān)注
27

文章
6128

瀏覽量
104948
XSS

XSS

+關(guān)注

關(guān)注
0

文章
24

瀏覽量
2359

原文標(biāo)題：黑客利用XSS漏洞，可訪問谷歌的內(nèi)部網(wǎng)絡(luò)

文章出處：【微信號：EAQapp，微信公眾號：E安全】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。

漏洞掃描一般采用的技術(shù)是什么

漏洞掃描是一種安全實踐，用于識別計算機(jī)系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用程序中的安全漏洞。以下是一些常見的漏洞掃描技術(shù)：自動化漏洞掃描：網(wǎng)絡(luò)掃描：使用

發(fā)表于 09-25 10:27 ?266次閱讀

漏洞掃描的主要功能是什么

漏洞掃描是一種網(wǎng)絡(luò)安全技術(shù)，用于識別計算機(jī)系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用程序中的安全漏洞。這些漏洞可能被惡意用戶利用來獲取未授權(quán)訪問、數(shù)據(jù)泄露或其他形式的攻擊。漏

發(fā)表于 09-25 10:25 ?279次閱讀

內(nèi)核程序漏洞介紹

電子發(fā)燒友網(wǎng)站提供《內(nèi)核程序漏洞介紹.pdf》資料免費下載

發(fā)表于 08-12 09:38 ?0次下載

IP 地址在XSS中的利用與防范

攻擊（XSS）概述： XSS攻擊是一種通過在目標(biāo)網(wǎng)站注入惡意腳本代碼，當(dāng)用戶訪問該網(wǎng)站時，惡意代碼在用戶瀏覽器中執(zhí)行的攻擊方式。攻擊者可以竊取用戶的會話信息、Cookie、瀏覽器歷史記錄等敏感數(shù)據(jù)，或者進(jìn)行其他惡意操作。 IP

發(fā)表于 08-07 16:43 ?191次閱讀

GitLab修復(fù)多重安全隱患，呼吁用戶升級至最新版

其中，高風(fēng)險漏洞為CVE-2024-4835，主要存放在VS代碼編輯器（Web IDE）中的，攻擊者可通過此漏洞進(jìn)行跨站點腳本（XSS）攻擊，從而獲取對用戶賬戶的完全控制權(quán)。

發(fā)表于 05-24 17:00 ?852次閱讀

微軟去年提交1128個漏洞，"提權(quán)"和"遠(yuǎn)程代碼執(zhí)行"最為常見

據(jù)BeyondTrust安全平臺統(tǒng)計顯示，微軟于2023年共報告漏洞1128項，相較于2022年的1292個略微下滑5%，但總漏洞數(shù)仍維持在歷史高位。值得注意的是，NIST通用漏洞評級系統(tǒng)中

發(fā)表于 04-29 16:11 ?377次閱讀

谷歌獎勵1000萬美元發(fā)現(xiàn)漏洞的安全專家

值得注意的是，2023年度漏洞報告的最優(yōu)獎項高達(dá)113337美元，加上自計劃啟動至今歷年累積的5.9億美元獎金，其中Android相關(guān)內(nèi)容尤其顯著，更有近340萬美元的獎金熠熠生輝，用以鼓勵專家們積極研究安卓漏洞。

發(fā)表于 03-13 14:44 ?446次閱讀

谷歌交互世界模型重磅發(fā)布

谷歌模型

北京中科同志科技股份有限公司
發(fā)布于 :2024年02月28日 09:13:06

OpenAI和谷歌，AI對線中的飛馳人生

卷王谷歌，為什么一步錯，步步錯？

發(fā)表于 02-27 09:50 ?2039次閱讀

蘋果承認(rèn)GPU存在安全漏洞

蘋果公司近日確認(rèn)，部分設(shè)備中的圖形處理器存在名為“LeftoverLocals”的安全漏洞。這一漏洞可能影響由蘋果、高通、AMD和Imagination制造的多種圖形處理器。根據(jù)報告，iPhone 12和M2 MacBook A

發(fā)表于 01-18 14:26 ?616次閱讀

微軟2024年首個補(bǔ)丁周二修復(fù)49項安全漏洞，其中2項為嚴(yán)重級別

值得關(guān)注的是，編號為 CVE-2024-20674 的 Windows Kerberos 漏洞 CVSS 評分為 9，可謂當(dāng)之無愧的“年度最危險漏洞”。據(jù)悉，此漏洞可使黑客發(fā)動中間人攻

發(fā)表于 01-12 14:43 ?865次閱讀

汽車網(wǎng)絡(luò)安全：防止汽車軟件中的漏洞

汽車網(wǎng)絡(luò)安全在汽車開發(fā)中至關(guān)重要，尤其是在汽車軟件日益互聯(lián)的情況下。在這篇博客中，我們將分享如何防止汽車網(wǎng)絡(luò)安全漏洞。靜態(tài)分析工具有助于執(zhí)行關(guān)鍵的汽車編碼指南（如MISRA和AUTOSAR C++14），并協(xié)助遵守功能安全

發(fā)表于 12-21 16:12 ?1044次閱讀

什么是跨站腳本攻擊？一篇帶你了解什么叫做XSS

XSS作為OWASP TOP 10之一。

發(fā)表于 12-20 09:49 ?1361次閱讀

git commit代碼提交規(guī)范

接下來我就來實踐一下，首先我這里使用的是pnpm安裝依賴的。今天主要是在提交代碼時稍微自動化一點，并且讓提交規(guī)范統(tǒng)一一些。

發(fā)表于 12-19 09:45 ?602次閱讀

如何消除內(nèi)存安全漏洞

“MSL 可以消除內(nèi)存安全漏洞。因此，過渡到 MSL 可能會大大降低投資于旨在減少這些漏洞或?qū)⑵溆绊懡抵磷畹偷幕顒拥谋匾浴?/div>
發(fā)表于 12-12 10:29 ?695次閱讀