一名16歲的安全研究人員今年稍早發現,Google一個後台系統存在跨網站腳本程式(cross-site scripting,XSS)漏洞,一旦遭惡意人士開採可能用於攻擊Google員工或是竊取Google敏感資訊。所幸經通報後,Google已及時修補。

專職網頁開發及Google漏洞賞金獵人的Thomas Orlita,今年稍早在Google名為Google Invoice Submission Portal的網站上發現這項漏洞。這個網站旨在提供第三方供應商上傳發票,它是代管在appspot.com的公開網域上,後者多半用於代管Google App Engine專案,而Google自有網站在開發階段也經常使用,不過在正式上線時會轉移到google.com或其他網域。本案可能是因為疏忽而直接在appspot.com上,出版了有漏洞的Invoice Upload的網站所致。

Invoice Upload網站以文字表格要求供應商輸入電子郵件信件、發票編號、日期、檔案類型(Content Type),然後上傳發票的PDF檔,這種方式可以防止XSS攻擊。但研究人員發現,他可以在PDF檔案真正上傳前,將檔案副檔名由.pdf改成.html,將Content Type由application/pdf改為text/html。如此一來,Google網站即接收了XSS內容,而非應該有的PDF檔。

數天後他得知在googleplex.com網域正在執行盲目式(blind,即未顯示錯誤訊息的)XSS。Google內部網站及app都是代管於這個網域上。欲登入該網域都會被導向Google公司的登入頁(稱為MOMA登入頁)。唯有Google員工才有權登入,需要輸入有效的google.com帳號進行驗證。

也就是說,研究人員已經用XSS攻擊進入了Google內部網站。如果惡意人士在googleplex.com執行惡意JavaScript,則可能存取Google發票系統或其他敏感資訊。

研究人員在2月通報Google。Google指出,Googleplex.com上的應用程式彼此獨立,即使cookie或憑證被竊,登入該網站的駭客或惡意程式也無法在Google網站間橫向移動。不過Google還是於3月底修補了這個問題,也不再把資料儲存到googleplex.com網站,而改儲存到storage.googleapis.com網址,後者用於儲存上傳的用戶資訊,但類似沙箱環境,就不再有XSS攻擊的風險。


Advertisement

更多 iThome相關內容