Lenovo
Featured

10 tisuća dolara za nagradu od Googlea

Tvrtki Detectify pošlo je za rukom dokazati postojanje ranjivosti koja potencijalnim napadačima omogućava pristup Googleovim produkcijskim poslužiteljima te ujedno dobiti i 10.000 dolara nagrade
10 tisuća dolara za nagradu od Googlea - Tvrtki Detectify pošlo je za rukom dokazati postojanje ranjivosti koja potencijalnim napadačima omogućava pristup Googleovim produkcijskim poslužiteljima te ujedno dobiti i 10.000 dolara nagrade
10 tisuća dolara za nagradu od Googlea - Tvrtki Detectify pošlo je za rukom dokazati postojanje ranjivosti koja potencijalnim napadačima omogućava pristup Googleovim produkcijskim poslužiteljima te ujedno dobiti i 10.000 dolara nagrade
Tvrtki Detectify pošlo je za rukom dokazati postojanje ranjivosti Googleova produkcijskog poslužitelja te ujedno dobiti i 10.000 dolara nagrade

Ranjivost se nalazi u Googleovoj galeriji dugmadi alatne trake (Google Toolbar Button Gallery) koji korisnicima omogućava prilagođavanje alatne trake s novim dugmadima. Istražiteljima je bilo lako stvoriti njihovu vlastitu dugmad uploadanjem XML datoteka koji sadrže metapodatke za stiliziranje ili druge značajke. Ta opcija Googleove tražilice je ranjiva na XML External Entity (XXE), oblik napada ubacivanjem XML koda koji omogućava napadačima da proguraju loše konfigurirani XML parser s neželjenim funkcijama što može kompromitirati sigurnost aplikacija na webu.

XML parseri slijepo interpretiraju svaki DTD (Document Type Definition) od prispjelih korisnikovih XML dokumenata. Na taj način parseri mogu učiniti mnogo štete. Neke od mogućnosti za napadače nakon uspješno izvedenog napada su pristup lokalnim datotekama, izvođenje SSRF-a (server-side requests forgery), DoS napada te čak i udaljenog pokretanja koda.

Stručnjaci su ranjivost odmah prijavili Googleu, za što su dobili nagradu u vrijednosti od 10 tisuća dolara.

Zadnje recenzije

Igrali smo

PARTNERI

A1
Adriatic
AKD
Algebra
Bosch
Huawei
HT
IN2
Kompare
Lenovo
Telemach
Einhell

ISSN: 1846-8675

© 2006. - 2024. CroPC.net

                    

Preporučujemo: cyber_FolksTemplatePlazza

CroPC.net upotrebljava internetske kolačiće (eng. cookies). Nastavkom pregleda web-stranice slažete se s uvjetima korištenja.