舉報谷歌工具欄漏洞有功，他們贏得1萬美金

還記得那個經典的Google工具欄嗎？

雖然這款谷歌工具欄逐漸整合至Chrome瀏覽器中，但是谷歌仍然保持谷歌工具欄產品線，例如谷歌工具欄按鈕庫，支持添加各類話題的搜索按鈕圖標，但這款工具欄同樣暗藏危險的安全漏洞。

近期，谷歌為來自Detectify安全研究員們頒發(fā)10000美金，獎勵他們舉報一枚全新的XXE（XML External Entity）漏洞。

據(jù)安全專家介紹，這款漏洞來自谷歌旗下的Google工具欄按鈕庫站點。在該站點下，谷歌允許用戶自定義使用新按鈕圖標應到到搜索工具欄項目上，但研究員發(fā)現(xiàn)相應的安全后門。例如，開發(fā)者可以通過上傳一份包含設計類元數(shù)據(jù)的XML文件至谷歌服務器。

據(jù)安全專家介紹，“我們團隊中的Fredrik研究這些API接口特性后，精心設計他自己一款內置XML實體的按鈕圖標。當搜索相應按鈕時，他注意到該頁面的標題及描述說明將自動打印回饋，于是他計劃使用一次XXE安全攻擊試驗?！?/p>

最終，F(xiàn)redrik成功完成自己的攻擊試驗，并向谷歌反饋該漏洞報告。

目前，谷歌公司的安全團隊已經證實該漏洞問題，預計幾天后修復XXE漏洞。

廣告聲明：文內含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結果僅供參考，IT之家所有文章均包含本聲明。