谷歌应用程序漏洞允许黑客劫持账户并禁用双因素身份验证

跨站点脚本（XSS）漏洞在谷歌应用程序管理员控制台允许网络罪犯强制谷歌应用程序管理员执行网络上几乎任何请求https://admin.google.com/领域

 

谷歌应用管理控制台允许管理员管理其组织的帐户。管理员可以使用控制台为您的域添加新用户、配置权限、管理安全设置和启用谷歌服务。该功能主要用于许多企业，尤其是那些使用Gmail作为其域电子邮件服务的企业。

XSS漏洞允许攻击者强制管理员执行以下操作：

 

这个新的零日漏洞被应用程序安全工程师发现并私下报告布雷特·布尔豪斯9月1日提交给谷歌，该公司在17天内修复了该漏洞。作为对该报告的交换，谷歌根据其臭虫赏金计划向研究人员支付了5000美元作为奖励。

 

据研究人员称，当用户访问尚未为其域配置的服务时，他们会看到一个““页面。此页面允许用户在帐户之间切换以登录服务。

 

然而，当选择其中一个帐户时，会执行一段JavaScript代码，试图重定向用户的Web浏览器。用户可以在URL的“continue”请求参数中提供JavaScript代码，该参数允许XSS攻击。

“continue request参数是Google登录流中相当常见的请求变量，“布尔豪斯在周三发表的一篇博客文章中解释道。”这是我能找到的唯一一个没有验证传递到其中的URL的页面。这使您可以通过使用“javascript:”作为URL的一部分来设计跨站点脚本攻击，并在重定向浏览器位置时执行。"

在向该公司报告后的第17天修补该漏洞，显示了这家搜索引擎巨头对其软件和用户安全的担忧。

然而，据谷歌的Project zero团队报告，最近微软遭遇的漏洞问题一个接一个地暴露了Windows 7和8.1操作系统中三个严重的零日漏洞。即使在向微软提供了长达三个月的时间后，微软仍无法修复其软件中的安全漏洞。