AS网站目录(www.adminso.com):举报谷歌工具栏漏洞有功,他们赢得1万美金 还记得那个经典的Google工具栏吗?虽然这款谷歌工具栏逐渐整合至Chrome浏览器中,但是谷歌仍然保持谷歌工具栏产品线,例如谷歌工具栏按钮库,支持添加各类话题的搜索按钮图标,但这款工具栏同样暗藏危险的安全漏洞。近期,谷歌为来自Detectify安全研究员们颁发10000美金,奖励他们举报一枚全新的XXE(XML External Entity)漏洞
AS网站目录(www.adminso.com):举报谷歌工具栏漏洞有功,他们赢得1万美金
还记得那个经典的Google工具栏吗?
虽然这款谷歌工具栏逐渐整合至Chrome浏览器中,但是谷歌仍然保持谷歌工具栏产品线,例如谷歌工具栏按钮库,支持添加各类话题的搜索按钮图标,但这款工具栏同样暗藏危险的安全漏洞。
近期,谷歌为来自Detectify安全研究员们颁发10000美金,奖励他们举报一枚全新的XXE(XML External Entity)漏洞。
据安全专家介绍,这款漏洞来自谷歌旗下的Google工具栏按钮库站点。在该站点下,谷歌允许用户自定义使用新按钮图标应到到搜索工具栏项目上,但研究员发现相应的安全后门。例如,开发者可以通过上传一份包含设计类元数据的XML文件至谷歌服务器。
据安全专家介绍,“我们团队中的Fredrik研究这些API接口特性后,精心设计他自己一款内置XML实体的按钮图标。当搜索相应按钮时,他注意到该页面的标题及描述说明将自动打印回馈,于是他计划使用一次XXE安全攻击试验。”
最终,Fredrik成功完成自己的攻击试验,并向谷歌反馈该漏洞报告。
目前,谷歌公司的安全团队已经证实该漏洞问题,预计几天后修复XXE漏洞。
标签: 举报 谷歌 工具栏 漏洞 有功 他们 赢得 1万 美金
声明:本文内容来源自网络,文字、图片等素材版权属于原作者,平台转载素材出于传递更多信息,文章内容仅供参考与学习,切勿作为商业目的使用。如果侵害了您的合法权益,请您及时与我们联系,我们会在第一时间进行处理!我们尊重版权,也致力于保护版权,站搜网感谢您的分享!
