Hacker premiato con $ 10.000 per Hacking su server di produzione Google tramite XML

Hacker premiato con $ 10.000 per Hacking su server di produzione Google tramite XML

Una vulnerabilità critica è stato scoperta in Google che potrebbe consentire a un utente malintenzionato di accedere ai file interni del server di produzione di Google. Sembra ridicolo, ma è stato dimostrato dai ricercatori di sicurezza di Detectify.

La vulnerabilità risiede nella Galleria pulsanti Toolbar (come mostrato). Il team di ricercatori ha trovato una scappatoia dopo aver notato che Google Toolbar Button Galleria consente agli utenti di personalizzare le loro barre degli strumenti con i nuovi pulsanti. Così, per gli sviluppatori, è facile creare i propri pulsanti per il caricamento di file XML contenenti i metadati per lo styling e altre proprietà.

Utilizzando il bug i ricercatori hanno realizzato il proprio pulsante contenente un invio di XML. Con l’invio , guadagnano l’accesso ai file interni memorizzati in uno dei server di produzione di Google e  a leggere il file “/ etc / hosts” dal server “/ etc / passwd” incluso.

I ricercatori hanno immediatamente segnalato la vulnerabilità al team di sicurezza di Google che li ha premiato con 10.000 $ (7200 €)

 

Condividi questo post

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *