رفتن به مطلب
انجمن تیم امنیتی گارد ایران

ارسال های توصیه شده

کشف آسیب پذیری XXE در سرور های گوگل

آسیب پذیری XXE در سرورهای گوگل کشف شده بود که میتوانست امکان بهره برداری از بعضی XML ها را که هر DTD یا Document Type Definition با یک XML را تفسیر میکند را بدهد.


در نتیجه میشد به بعضی از فایلهای محلی دسترسی یافته و توسط یک RFI یا Remote File Inclusion حملات انکار سرویس انجام داده و یا حتی کدهائی مخرب را از راه دور اجرا نمود.


گروه Detectify این اسیب پذیری را روی سرورهای گوگل کشف کرده است. Detectify شرکتی است که سرویس انلاینی برای اسکن رایگان سایتها و یافتن اسیب پذیریهای احتمالی و خطاهای امنیتی و فایلهای مظنون دارد.


این شرکت با جستجوهای خود با گالری دکمه ها برای گوگل تولبار برخورد کرد. این گالری برای شخصی سازی تولبار با دکمه های جدید و با اپلود XML شخصی سازی شده میباشد. گروه Detectify با توجه به ویزگیهای این ابزار یک فایل XML که برای حملاتی از نوع XXE میباشد ساخته و سپس انرا روی سرورهای گوگل اپلود کردند و بدینگونه توانستند از سرور گوگل محتوا و پسورد و غیره را بیابند.

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

برای ارسال دیدگاه یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید دیدگاهی ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در سایت ما ثبت نام کنید. عضویت خیلی ساده است !

ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید

ورود به حساب کاربری

انجمن تیم امنیتی گارد ایران

تیم امنیتی گارد ایران یک گروه مستقل است که قوانین آن با خط مشی جمهوری اسلامی ایران مغایرت ندارد. تیم امنیتی گارد ایران از سال 1393 فعالیت خود را آغاز کرد و هدف این تیم تامین امنیت سایت ها و سرورهای ایرانی است. تیم ما همیشه برای دفاع از مرزهای سایبری سرزمین عزیزمان ایران آماده است.

شبکه های اجتماعی

×
×
  • اضافه کردن...