Игры
True Mafia Server
Статистика
О сайте
Радио
Telegram
Касперский Tas-ix
Фото
Новые фото
Лучшие фото
Случайные фото
Блоги
Всяко-разно
Хиромантия
Видео
Фотография
Тексты Песен
Лента
ЧАВО?
Q&A
Поиск
Speed Test
Ваш IP
Гороскоп
Объявления
Комментарии
WELCOME!
HOME PAGE SPY
Люди
Награды
Популярные
Форум
UzMax.Net
Google.com
Лучшие клипы!
adattive - мобильная тема
Хакеры получили $10,000 за взлом Google
|
Автор
 |
+1↑ Голосов: 1 |
Команда исследователей безопасности Detectify, обнаружила серьезную уязвимость на сервере Google.
В основу для взлома легла уже давно известная уязвимость XXE (XML External Entity Processing).
Данная «дырка» позволяет внедрять внешние сущности, например для загрузки отдельных частей файла, однако, если хакер может внедрить произвольный участок кода в схему, это может привести к серьезным последствиям, например, чтению произвольного файла на сервере.
Всему виной являлся один из сервисов Google, а именно Toolbar Button Gallery. Исследователи обнаружили, что для удобства настройки тулбара, разрешена загрузка XML файла с пользовательскими настройками. Внедрив специальный участок кода в файл и загрузив его на сервер, хакеры получили нужные данные, XXE сработала.
Безопасники ограничились лишь демонстрацией уязвимости в виде чтения файлов /etc/passwd и /etc/hosts, но на этом возможности уязвимости не ограничиваются. Например, с помощью XXE можно было добиться отказа в обслуживании, SSRF, а также, при нужном подходе, выполнения произвольного кода на целевом сервере. По программе вознагражения за найденные уязвимости, компания Google выплатила исследователям награду в виде 10000 долларов.
В основу для взлома легла уже давно известная уязвимость XXE (XML External Entity Processing).
Данная «дырка» позволяет внедрять внешние сущности, например для загрузки отдельных частей файла, однако, если хакер может внедрить произвольный участок кода в схему, это может привести к серьезным последствиям, например, чтению произвольного файла на сервере.
Всему виной являлся один из сервисов Google, а именно Toolbar Button Gallery. Исследователи обнаружили, что для удобства настройки тулбара, разрешена загрузка XML файла с пользовательскими настройками. Внедрив специальный участок кода в файл и загрузив его на сервер, хакеры получили нужные данные, XXE сработала.
Безопасники ограничились лишь демонстрацией уязвимости в виде чтения файлов /etc/passwd и /etc/hosts, но на этом возможности уязвимости не ограничиваются. Например, с помощью XXE можно было добиться отказа в обслуживании, SSRF, а также, при нужном подходе, выполнения произвольного кода на целевом сервере. По программе вознагражения за найденные уязвимости, компания Google выплатила исследователям награду в виде 10000 долларов.
Похожие записи:
Найди свой девиз (кредо) по жизни!Вы определились со своим жизненным кредо? Если да, то поделитесь им с нами и оставьте его в комментариях к статье, если нет - читайте, и может вы непременно найдете то, что четко описывает ваш хара...
|
Красивые фотографии |
Telegram l для Windows (Unofficial)Хочу поделиться отличной новостью, Telegram вышел на ПК и Ноутбуки для Windows & MacOS, все подробности ниже: Alpha-версия 0.4 мессенджера Telegram Win. Работоспособность проверялась на: Wind...
|
Приложение Prisma официально вышло на AndroidУра товарищи!!! =))) настал этот день! Prisma — художественные фильтры и фотоэффекты Почувствуй себя художником! Преврати фотографии в уникальные произведения искусства: - Фильтры в стиле художн...
|
Комментарии (4)
