Хакеры получили $10,000 за взлом Google

    Команда исследователей безопасности Detectify, обнаружила серьезную уязвимость на сервере Google.
    В основу для взлома легла уже давно известная уязвимость XXE (XML External Entity Processing).

    image

    Данная «дырка» позволяет внедрять внешние сущности, например для загрузки отдельных частей файла, однако, если хакер может внедрить произвольный участок кода в схему, это может привести к серьезным последствиям, например, чтению произвольного файла на сервере.

    Всему виной являлся один из сервисов Google, а именно Toolbar Button Gallery. Исследователи обнаружили, что для удобства настройки тулбара, разрешена загрузка XML файла с пользовательскими настройками. Внедрив специальный участок кода в файл и загрузив его на сервер, хакеры получили нужные данные, XXE сработала.

    image

    Безопасники ограничились лишь демонстрацией уязвимости в виде чтения файлов /etc/passwd и /etc/hosts, но на этом возможности уязвимости не ограничиваются. Например, с помощью XXE можно было добиться отказа в обслуживании, SSRF, а также, при нужном подходе, выполнения произвольного кода на целевом сервере. По программе вознагражения за найденные уязвимости, компания Google выплатила исследователям награду в виде 10000 долларов.
    Поделиться публикацией

    Похожие публикации

    Комментарии 26

      +17
      Вычли из зарплаты разработчиков
        +11
        Тогда уж — тестеров и аудиторов кода.
          +12
          Адекватные компании такое не практикуют.
          Компании практикующие наказание инженеров за ошибки обречены ибо крайне сложно создать что-то новое не допустив ошибок.
          Как там Энштейн говорил? Кто не делал ошибок никогда не делал ничего нового?
          +34
          Чего то маловато 10к у.е за выполнение кода на сервере гугл
            +3
            Кризис видимо сказывается.
              +3
              Там же вроде они всех, кто помог закрыть уязвимости записывают на спец-страничке. По моему репутация гораздо важнее денег
                +30
                Если получать исключительно репутацию, то вскоре умрёшь голодной знаменитостью.
                  +1
                  Конечно. Однако программисты таки получили деньги, хоть какие-то.
                  А репутация поможет им, например, устроиться в тот же гугл и получать неплохие деньги стабильно.
                    +1
                    Разумеется.
                    Просто я на их странице насчитал 6 человек. То есть каждый получил где-то 1667 USD, что не так уж много…
                      +8
                      А хотелось бы столько же как от преступной деятельности, но легально и без риска? ))
                      • НЛО прилетело и опубликовало эту надпись здесь
                          +1
                          Нелогично. Риск отсидеть до хх лет тоже чего-то стоит.
                            0
                            Кстати интересно — карается ли продажа уязвимости и если да, то по какой конкретно статье. Использование уязвимости карается. Поиск уязвимости — нет. А продажа найденной уязвимости?
                              +1
                              все в одну кучу. ))
                              Разделим мух и котлеты.
                              Действующий Уголовный кодекс РФ в ч. 2 ст. 5 прямо запрещаетобъективное вменение, т.е. за факт деяния в современном мире не судят.
                              А с субъективным разберется следствие и суд, поэтому серьезные люди без подписания договора взломом сетей в качестве тестирования защиты не занимаются. Если за этим делом застукать, то… объективная часть готова, осталось пришить субъективную, что не составляет никакого труда в странах где суд не совсем беспристрастный.
                              Короче со злым умыслом поиск=взлом однозначно карается, а с продажей не все так однозначно действительно. Но даже не могу представить как фишка ляжет — там владение уязвимостью ведет к взлому… Или будешь рассказывать что сам у бабки купил? )) Тут даже порядочный суд не поверит…
                            • НЛО прилетело и опубликовало эту надпись здесь
                        • НЛО прилетело и опубликовало эту надпись здесь
                  0
                  Так это не выполнение кода, а file inclusion.
                  0
                  Банальный XXE.
                    0
                    Банальный-то банальный, зато где)
                      0
                      Согласен, но «с кем не бывает» ;)
                        0
                        Со мной не бывает. У меня сайт на HTML
                          0
                          www.primmarketing.ru/login/
                          Угу, оно и видно. А еще SSL нету при аутентификации — так безопаснее, нет угрозы HeartBleed 8))
                    0
                    Точно подмечено, 10,000$ — недостаточно.
                    Вот 50,000$ — уже существеннее за такой взлом.
                      0
                      Я не очень понимаю логики таких утверждений, мне интересно, с чего такие цифры получаются?

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое