意外发现的虫子可能会带来深远的后果
基于DOM的跨站脚本(XSS)在Google语音浏览器扩展程序中发现了漏洞。
Missoum说 - 又名@Missoum1307- 最近透露了他的发现博客文章。
Google语音扩展可用于启动呼叫,并通过Chrome浏览器发送短信。
在安装扩展时,在浏览器会话中发现了XSS问题,他的Gmail收件箱开放。
打开Gmail后,扩展代码触发了弹出窗口,提示说要进一步探索。
线索是电子邮件内容中的特定文本行:‘444-555-4455’。
点击并致电
研究人员意识到谷歌广告的客户ID使用与美国电话号码相同的格式。
在检查了Google语音扩展的源代码后,确定该错误已包含在文件中contentscript.js,在一个称为的函数中wg()。
wg()用于获取用于扩展名的点击函数的电话号码。它用于搜索HTML/XML主体以获取内容并分配具有变量“ A”(DOM XPATH输入)的文本节点,而另一个变量“ B”用于查找电话号码。
如果找到匹配项,则将这些分配在变量“ f”中,并将跨度元素的内容作为变量“ h”。
在基于脚本的检查和验证过程之后,在接收器功能中发现了错误。
根据研究人员的说法,该错误可能是由于在一部分中执行错误变量引起的wg()的代码 - “ A”而不是“ F”。
利用影响
XSS漏洞可用于在浏览器会话中执行JavaScript,例如在包括accounts.google.com和Facebook.com的域上。
如果使用该扩展的脆弱版本,并且受害者查看了精心设计的电子邮件或单击恶意链接,则可能会触发攻击。
提及Facebook提出的查询在Twitter上,外部服务是否包含相同的缺陷。
但是,由于它在浏览器扩展中存在,该浏览器在互联网会话中充当覆盖,因此缺陷是普遍的,与特定域无关。
这基于DOM的XSS缺陷直接报告给Google并随后固定。可用的最新版本是2.5.34。
据说因披露该错误而获得了3,133美元的漏洞赏金。
研究人员告诉我们,尽管这一发现是偶然的,但他一直在寻找与Google相关的漏洞,并且是该漏洞的活跃成员Google漏洞奖励计划。
Google选择不进一步评论。
Synopsys高级安全策略师乔纳森·诺德森(Jonathan Knudsen)告诉,“自动源代码分析,软件组成分析,模糊和其他类型的安全测试工具是现代软件开发团队的表赌注。”每日swbeplay2018官网ig。
“此外,像这里一样,红色团队或漏洞赏金计划提供了额外的找到漏洞的功能。”
本月初,网络安全研究人员Vinoth Kumar赚了20,000美元用于在“使用Facebook登录”按钮中报告基于DOM的XSS漏洞。