Estáis equivocados si pensáis que los sistemas de Google no tienen vulnerabilidades.
Los investigadores de seguridad y co-fundadores de Detectify descubrieron una vulnerabilidad crítica en Google que les permitió acceder a los servidores internos.
La vulnerabilidad estaba en la galería de botones de Google Toolbar, la página que permite a los usuarios personalizar su barra de herramientass. También permite a los usuarios crear sus propios botones subiendo archivos XML que contienen diversos metadatos.
Los investigadores identificaron que esta función era vulnerable a una vulnerabilidad XXE (XML External Entity). Mediante el envío de un archivo XML especialmente diseñado, los investigadores son capaces de obtener acceso a los archivos internos almacenados en un servidor de producción de Google... y se las arreglaron para leer los archivos 'etc/passwd' y 'etc/hosts' del servidor.
Al explotar esta vulnerabilidad, los investigadores podrían haber accedido a los archivos en el servidor de Google y también podrían haber explotado SSRF para acceder a sistemas internos.
Google ha premiado a los investigadores con $10,000 por encontrar y reportar esta vulnerabilidad.
Fuente: How researchers hack Google using XXE vulnerability !
Los investigadores de seguridad y co-fundadores de Detectify descubrieron una vulnerabilidad crítica en Google que les permitió acceder a los servidores internos.
La vulnerabilidad estaba en la galería de botones de Google Toolbar, la página que permite a los usuarios personalizar su barra de herramientass. También permite a los usuarios crear sus propios botones subiendo archivos XML que contienen diversos metadatos.
Los investigadores identificaron que esta función era vulnerable a una vulnerabilidad XXE (XML External Entity). Mediante el envío de un archivo XML especialmente diseñado, los investigadores son capaces de obtener acceso a los archivos internos almacenados en un servidor de producción de Google... y se las arreglaron para leer los archivos 'etc/passwd' y 'etc/hosts' del servidor.
Al explotar esta vulnerabilidad, los investigadores podrían haber accedido a los archivos en el servidor de Google y también podrían haber explotado SSRF para acceder a sistemas internos.
Google ha premiado a los investigadores con $10,000 por encontrar y reportar esta vulnerabilidad.
Fuente: How researchers hack Google using XXE vulnerability !
Y esto que es nuevo? buuuuuuuuuu!!!
ResponderEliminarhttp://www.cyberkendra.com/2014/04/google-got-hacked-by-xxe-vulnerability.html
:-O se me fue la pinza! seguí un tweet y no me dí cuenta que la noticia era de abril.. lo muevo de mes, gracias!
ResponderEliminar