一名16岁的安全研究人员今年稍早发现,Google一个后台系统存在跨网站指令码程式(cross-site scripting,XSS)漏洞,一旦遭恶意人士开采可能用于攻击Google员工或是窃取Google敏感资讯。所幸经通报后,Google已及时修补。
专职网页开发及Google漏洞赏金猎人的Thomas Orlita,今年稍早在Google名为Google Invoice Submission Portal的网站上发现这项漏洞。这个网站旨在提供第三方供应商上传发票,它是代管在appspot.com的公开网域上,后者多半用于代管Google App Engine专案,而Google自有网站在开发阶段也经常使用,不过在正式上线时会转移到google.com或其他网域。本案可能是因为疏忽而直接在appspot.com上,出版了有漏洞的Invoice Upload的网站所致。
Invoice Upload网站以文字表格要求供应商输入电子邮件信件、发票编号、日期、档案型别(Content Type),然后上传发票的PDF档,这种方式可以防止XSS攻击。但研究人员发现,他可以在PDF档案真正上传前,将档案副档名由.pdf改成.html,将Content Type由application/pdf改为text/html。如此一来,Google网站即接收了XSS属性,而非应该有的PDF档。
数天后他得知在googleplex.com网域正在执行盲目式(blind,即未显示错误讯息的)XSS。Google内部网站及app都是代管于这个网域上。欲登入该网域都会被导向Google公司的登入页(称为MOMA登入页)。唯有Google员工才有权登入,需要输入有效的google.com账号进行验证。
也就是说,研究人员已经用XSS攻击进入了Google内部网站。如果恶意人士在googleplex.com执行恶意JavaScript,则可能存取Google发票系统或其他敏感资讯。
研究人员在2月通报Google。Google指出,Googleplex.com上的应用程序彼此独立,即使cookie或凭证被窃,登入该网站的黑客或恶意程式也无法在Google网站间横向移动。不过Google还是于3月底修补了这个问题,也不再把资料储存到googleplex.com网站,而改储存到storage.googleapis.com网址,后者用于储存上传的使用者资讯,但类似沙盒环境,就不再有XSS攻击的风险。
资料来源:iThome Security
