April 13, 2014

Satu kelemahan ketara telah ditemui di Google yang membolehkan penyerang untuk mengakses fail dalaman pelayan Google.

Kedengaran tidak masuk akal tetapi telah dibuktikan oleh para penyelidik keselamatan dari Detectify. Kelemahan itu berada di dalam Toolbar Button Gallery (seperti yang ditunjukkan).

Pasukan penyelidik mendapati satu jalan keluar selepas mereka menyedari bahawa Toolbar Button Gallery membolehkan pengguna untuk menyesuaikan toolbar mereka dengan butang baru.

Jadi ia adalah mudah untuk membuat butang sendiri dengan memuat naik fail XML yang mengandungi metadata untuk gaya dan lain-lain.

Ciri enjin carian Google adalah terdedah kepada XML External Entity ( XXE ). Ia merupakan suntikan XML yang membolehkan penyerang untuk memaksa XML dikonfigurasikan untuk fungsi yang tidak diingini yang boleh menjejaskan keselamatan aplikasi web.

Menggunakan cara yang sama, para penyelidik mereka butang mereka sendiri yang mengandungi entiti XML dan dengan menghantarnya, mereka mendapat akses kepada fail dalaman yang disimpan di dalam salah satu pelayan pengeluaran Google dan berjaya membaca "/etc/passwd" dan "/etc/hosts" fail dari pelayan.

Para penyelidik terus melaporkan pendedahan kepada pasukan keselamatan Google dan diberi ganjaran dengan $ 10,000 (€ 7,200).



Leave a Reply

Subscribe to Posts | Subscribe to Comments

- Copyright © BudakBotak.com © - Date A Live - Powered by Blogger - Designed by Johanes Djogan -