您的位置: 首頁(yè) >科技 >

安全研究人員利用bug訪問(wèn)Google的問(wèn)題跟蹤系統(tǒng)

2019-05-21 16:50:54 編輯: 來(lái)源:
導(dǎo)讀 Google有一個(gè)名為Google Issue Tracker的內(nèi)部平臺(tái),用于跟蹤錯(cuò)誤列表和未修補(bǔ)的漏洞,但該平臺(tái)本身有一個(gè)錯(cuò)誤,允許一位安全研究人員訪問(wèn)

Google有一個(gè)名為Google Issue Tracker的內(nèi)部平臺(tái),用于跟蹤錯(cuò)誤列表和未修補(bǔ)的漏洞,但該平臺(tái)本身有一個(gè)錯(cuò)誤,允許一位安全研究人員訪問(wèn)列表中的任何內(nèi)容,并報(bào)告主板。這將允許某人查看Google所請(qǐng)求的所有功能和未修補(bǔ)的錯(cuò)誤,可能允許黑客利用這些信息。谷歌此后修補(bǔ)了這個(gè)漏洞。

安全研究員Alex Birsan 能夠通過(guò)使用允許外部研究人員取消訂閱特定問(wèn)題的電子郵件列表的功能來(lái)訪問(wèn)該信息。一旦取消訂閱,系統(tǒng)將在最終響應(yīng)中發(fā)送錯(cuò)誤的詳細(xì)信息。該系統(tǒng)假設(shè)用戶首先獲得了許可,因此Birsan發(fā)現(xiàn),如果他取消訂閱他從未真正訂閱的特定列表,他仍然可以獲得不同漏洞的詳細(xì)信息。Birsan能夠在問(wèn)題跟蹤器上看到漏洞報(bào)告以及“其他所有內(nèi)容”。

“利用這個(gè)漏洞,你可以訪問(wèn)任何人發(fā)送給谷歌的漏洞報(bào)告,直到他們發(fā)現(xiàn)你正在監(jiān)視他們的事實(shí),”比爾森告訴主板。“將這些漏洞報(bào)告轉(zhuǎn)化為有效的攻擊也需要一些時(shí)間/技巧。但影響越大,谷歌就越快修復(fù)。所以,即使你很幸運(yùn)并在報(bào)告后立即抓到一個(gè)好的,你仍然需要有一個(gè)計(jì)劃,你用它做什么。“

谷歌在Birsan一小時(shí)內(nèi)修補(bǔ)了該漏洞,并通知他們漏洞利用。谷歌發(fā)言人在給主板的電子郵件聲明中說(shuō):“我們很欣賞亞歷克斯的報(bào)告。我們修補(bǔ)了他報(bào)告的漏洞以及他們的變種。”


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請(qǐng)聯(lián)系刪除!

最新文章

精彩推薦

圖文推薦

點(diǎn)擊排行

2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號(hào):閩ICP備19027007號(hào)-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。