Stručnjaci za bezbednost iz kompanije Detectify uspeli su dokazati postojanje ranjivosti koja potencijalnim napadačima omogućava pristup Google-ovim produkcionim serverima. Ranjivost se nalazi u Google-ovoj galeriji dugmadi alatne trake (Google Toolbar Button Gallery) koji korisnicima omogućava prilagođavanje alatne trake sa novim dugmadima.
Istražiteljima je bilo lako stvoriti njihovu sopstvenu dugmad uploadovanjem XML datoteka koji sadrže metapodatke za stilizovanje ili druge funkcije. Ta opcija Google-ovog pretraživača je ranjiva na XML External Entity (XXE), oblik napada ubacivanjem XML koda koji omogućava napadačima da proguraju loše konfigurisani XML parser sa neželjenim funkcijama što može kompromitovati bezbednost aplikacija na webu.
Glavni razlog za to su XML parseri, koji slijepo interpretiraju svaki DTD (Document Type Definition) od prispelih korisnikovih XML dokumenata. Na taj način parseri mogu učiniti mnogo štete. Neke od mogućnosti za napadače nakon uspešno izvedenog napada su pristup lokalnim datotekama, izvođenje SSRF-a (server-side requests forgery), DoS napada ili čak i udaljenog pokretanja proizvoljnog koda.
Stručnjaci su ranjivost odmah prijavili Google-u, za šta su dobili nagradu u vrednosti od 10 hiljada $.
Foto: Pavel Ignatov / Shutterstock
Hakovali Google-ov server i dobili 10 hiljada dolara
10:04
nema komentara
Postavi komentar
Vaš komentar: