Η Google επιβράβευσε ένα ερευνητή ασφάλεια με 5.000 δολάριο για την ανακάλυψη και την υποβολή μιας ευπάθειας cross-site scripting στην κονσόλα διαχείρισης των Google Apps which could give an attacker full control over a Google account.
Many businesses associate their domains with Google services, allowing them access to Gmail, and working with Google Apps.
Blizzard Entertainment's security technician, Brett Buerhaus, discovered an XSS format that could be used when connecting to the management console.
Η procedure of log-in απαιτεί τα διαπιστευτήρια του χρήστη, εμφανίζοντας τουλάχιστον δύο λογαριασμούς της Google. Στη φόρμα εναλλαγής λογαριασμών της Google μετά την επιλογή ενός από τους λογαριασμούς, τρέχει ένα JavaScript για να ανακατευθύνει το πρόγραμμα περιήγησης στη σωστή σελίδα.
"OR address URL used in this JavaScript provided to the user to continue the request parameter. The parameter that continues the request is a fairly common request variable in Google's login flow. But this is the only page I could find that didn't validate the URL. The feature allows Cross-site Scripting attacks to be performed by using “javascript:” as part of the URL and will be executed on browser redirection,” Buerhaus reports in one publication.
Exploiting this vulnerability could give the attacker the ability to create new users at any level of privileges, including the super administrator, change security settings for users or domains, change domain settings to promote incoming emails to a different domain.
Επιπλέον, ο εισβολέας θα μπορούσε να αναλάβει τον έλεγχο διαφορετικών λογαριασμών ηλεκτρονικού ταχυδρομείου με τη μέθοδο επαναφοράς του κωδικού πρόσβασης. Θα μπορούσε να απενεργοποιήσει τη λειτουργία control two-factor authentication, completely weakening security on the targeted account.
The researcher published a PoC to prove what he claims. Google has already corrected the vulnerability.