據(jù)外媒報道，一位年輕的安全研究員在谷歌的一個后端應(yīng)用程序中發(fā)現(xiàn)了一個安全漏洞。如果被黑客利用，該漏洞可能會讓黑客竊取谷歌內(nèi)部應(yīng)用程序的員工cookie并劫持賬戶，發(fā)起魚叉式釣魚攻擊，并有可能進(jìn)入谷歌內(nèi)部網(wǎng)絡(luò)的其他部分。

今年2月，安全研究人員Thomas Orlita發(fā)現(xiàn)了這個攻擊途徑。漏洞在4月中旬已修復(fù)，但直到現(xiàn)在才公布。該安全漏洞為XSS（跨站點(diǎn)腳本）漏洞，影響了谷歌發(fā)票提交門戶，谷歌的業(yè)務(wù)合作伙伴在此處提交發(fā)票。

大多數(shù)XSS漏洞被認(rèn)為是良性的，但也有少數(shù)情況下，這些類型的漏洞會導(dǎo)致嚴(yán)重的后果。

其中一個漏洞就是Orlita的發(fā)現(xiàn)。研究人員表示，惡意威脅行動者可將格式不正確的文件上傳到谷歌發(fā)票提交門戶。

攻擊者使用代理可以在表單提交和驗證操作完成后立即攔截上傳的文件，并將文檔從PDF修改為HTML，注入XSS惡意負(fù)載。

數(shù)據(jù)最終將存儲在谷歌的發(fā)票系統(tǒng)后端，并在員工試圖查看它時自動執(zhí)行。Orlita表示，員工登錄時在googleplex.com子域名上執(zhí)行XSS漏洞，攻擊者能夠訪問該子域名上的dashboard，從而查看和管理發(fā)票。根據(jù)googleplex.com上配置cookie的方式，黑客還可以訪問該域中托管的其他內(nèi)部應(yīng)用程序。

總的來說，就像大多數(shù)XSS安全漏洞一樣，這個漏洞的嚴(yán)重程度依賴于黑客的技能水平。