一名16岁的安全研究人员今年稍早发现,网络大厂一个后台系统存在跨网站脚本程序(cross-site scripting,XSS)漏洞,一旦遭恶意人士开采可能用于攻击网络大厂员工或是窃取网络大厂敏感信息。所幸经通报后,网络大厂已及时修补。专职网页开发及网络大厂漏洞赏金猎人的Thomas Orlita,今年稍早在网络大厂名为网络大厂Invoice Submission Portal的网站上发现这项漏洞。这个网站旨在提供第三方供货商上传发票,它是代管在appspot.com的公开网域上,后者多半用于代管网络大厂App Engine专案,而网络大厂自有网站在开发阶段也经常使用,不过在正式上线时会转移到网络大厂.com或其他网域。本案可能是因为疏忽而直接在appspot.com上,出版了有漏洞的Invoice Upload的网站所致。
Invoice Upload网站以文字表格要求供货商输入电子邮件信件、发票编号、日期、文件类型(Content Type),然后上传发票的PDF档,这种方式可以防止XSS攻击。但研究人员发现,他可以在PDF档案真正上传前,将档案扩展名由.pdf改成.html,将Content Type由application/pdf改为text/html。如此一来,网络大厂网站即接收了XSS内容,而非应该有的PDF檔。数天后他得知在网络大厂plex.com网域正在执行盲目式(blind,即未显示错误讯息的)XSS。网络大厂内部网站及app都是代管于这个网域上。欲登入该网域都会被导向网络大厂公司的登入页(称为MOMA登入页)。唯有网络大厂员工才有权登入,需要输入有效的网络大厂.com账号进行验证。
也就是说,研究人员已经用XSS攻击进入了网络大厂内部网站。如果恶意人士在网络大厂plex.com执行恶意JavaScript,则可能存取网络大厂发票系统或其他敏感信息。研究人员在2月通报网络大厂。网络大厂指出,网络大厂plex.com上的应用程序彼此独立,即使cookie或凭证被窃,登入该网站的黑客或恶意软件也无法在网络大厂网站间横向移动。不过网络大厂还是于3月底修补了这个问题,也不再把数据储存到网络大厂plex.com网站,而改储存到storage.网络大厂apis.com网址,后者用于储存上传的用户信息,但类似沙盒环境,就不再有XSS攻击的风险。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
