客户端安全漏洞获得了适度的漏洞赏金奖励
更新安全研究人员本周发布了有关微妙的更多详细信息跨站脚本(XSS)影响Gmail的漏洞。
安全研究员Enguerran Gillier发现了dom- 在查看Google流行电子邮件服务中的基于XSS漏洞之后邮政API,而不是探索URL参数或网络安全缺陷的电子邮件本身的更常规路线。beplay体育能用吗
这脆弱性在2018年12月解决,仍然为Web开发人员和白帽子黑客提供课程。beplay体育能用吗
在iframe后面
Gmail收件箱可能看起来像一个简单的网页,但实际上是一个不同的网页(或Ibeplay体育能用吗FRAMES)的复合材料,它们彼此之间的通信。
这邮政Logger扩展名使Gillier可以查看框架到框架消息。
“每条消息都有一个目标(接收消息的帧),一个源(发送消息的帧),一个原点(源域)和数据,可以是字符串或JSON对象(或在此过程中将克隆的任何类型的对象)。博客文章详细说明他的发现。
“即使源有对目标的引用,也可以通过任何框架将消息发送到另一个框架,即使是从不同的域发送窗口,,,,window.open(), 和window.frames。”
在检查控制台中的一系列信息之后,特别是对吉利尔(Gillier)的脱颖而出,值得进一步审查。
发送的消息gootouts.google.com到mail.google.com不仅在消息数据中包含URL,而且URL包含“帧”一词。
在发现的风口浪尖上
进一步的检查使吉利尔能够确定如何收到消息以及如何操纵此过程。
通过相同的数据向控制台发送消息,但JavaScript:警报(1)而不是URL生成一个内容安全策略((CSP) 错误信息。
吉利尔解释说:“值得庆幸的是,这项CSP规则并未由Internet Explorer 11和Edge(当时)执行,因此我能够在这些浏览器上触发警报框。”“没有检查消息的来源。”
邪恶的标签pwnage潜力
该发现揭示了一种攻击Gmail用户的潜在方法。
“一个简单的攻击场景是从攻击者网页开始,打开一个新选项卡以使用Gmail,然后使用有效载荷在Gmail选项卡中注beplay体育能用吗入有效载荷邮政,”吉利尔说。
“ Gmail选项卡加载JavaScript IFRAME,并且攻击者在受害者的Gmail页面上具有任意代码执行,这意味着它可以读取并发送电子邮件[或]更改注册到此电子邮件的帐户的密码[或]。”
潜在的攻击者仍然必须制定频道名称才能进行XSS攻击,但是可以克服此障碍。
吉利尔发现,通过在Gmail选项卡中的帧层次结构中加载一个由攻击者控制的iframe,就可以拦截频道名称并执行XSS。
吉利尔(Gillier)无法发现一种简单的方法来在Gmail内部加载iframe - 这一发现指向任何攻击者的潜在绊脚石。
尽管如此,研究人员还是向Google报告了他的发现,后者同意他遇到了真正的安全缺陷,并根据其脆弱性奖励计划向他支付了赏金。
该缺陷 - 于2018年12月解决 - 赚取5,000美元的吉利尔(Gillier),标准奖励对于Gmail中的XSS。
吉利尔(Gillier)被问及从他的研究中汲取了什么课程。每日swbeplay2018官网ig当前时间是“黄金时代DOM XSS”。
他解释说:“前端框架可以通过使用TrustedTypes并默认检查后发起原点来升级其安全性。”“对于错误猎人,有很多DOM XS等待发现。@phwd甚至找到了一个基于DOM的CSRF在Facebook。”
Google尚未回应我们的评论请求。
此故事的更新是为了添加Enguerran Gillier的评论。
