来自西班牙马德里的Francisco Javier Santiago Vazquez是Mnemo公司的安全审计人员,近日他发现谷歌翻译网站的界面存在XSS跨站式脚本漏洞。Vazquez表示在谷歌翻译网站中“翻译文档”功能存在该漏洞,允许用户在没有预先提取和复制粘贴文本的时候翻译基于包含文字的文档,意味着允许第三方机构通过该功能上传包含有恶意程序的文档从而向受害者电脑发起攻击
来自西班牙马德里的Francisco Javier Santiago Vazquez是Mnemo公司的安全审计人员,近日他发现谷歌翻译网站的界面存在XSS跨站式脚本漏洞。Vazquez表示在谷歌翻译网站中“翻译文档”功能存在该漏洞,允许用户在没有预先提取和复制粘贴文本的时候翻译基于包含文字的文档,意味着允许第三方机构通过该功能上传包含有恶意程序的文档从而向受害者电脑发起攻击。
最简单的方式就是充分利用这项功能来操纵HTML文件并通过注入JavaScript来运作恶意程序。其他的文件格式同样也可以通过注入JS代码的方式来进行传播。你可以想象该漏洞的使用有点精妙,首先攻击者会欺诈受害者下载文件,打开之后并确保受害者尝试通过谷歌翻译网站进行翻译,且通过“翻译文档”功能。
Vazquez于本月初向谷歌公司发出了漏洞提醒,随后谷歌官方发言人对此进行回应并不需要考虑这个漏洞的风险,因为这个漏洞很难被利用而且整个活动都出于沙盒中运行。
标签: 谷歌 翻译 网站 爆受 XSS 漏洞 影响 官方 回应
声明:本文内容来源自网络,文字、图片等素材版权属于原作者,平台转载素材出于传递更多信息,文章内容仅供参考与学习,切勿作为商业目的使用。如果侵害了您的合法权益,请您及时与我们联系,我们会在第一时间进行处理!我们尊重版权,也致力于保护版权,站搜网感谢您的分享!
