قامت Google بإصلاح خطأ XSS في برنامج Maps ، Rewarded Reporter من 10000 دولار

-Google-بإصلاح-خطأ-XSS-في-برنامج-Maps-،-Rewarded.png


خطأ في الخريطة يؤدي إلى هجوم XSS
خطأ في الخريطة يؤدي إلى هجوم XSS

منحت Google جائزة الباحث الأمني ​​تقريبًا 10000 دولار لاكتشاف الأخطاء على منصة الخرائط. الخطأ الذي اكتشفه الشخص الذي يقوم بالإبلاغ هو ميزة تصدير لخدمة الخرائط يمكن خداعها من قبل المهاجم لإدخال تعليمات برمجية ضارة في الخريطة التي تم إنشاؤها حديثًا وتشغيلها atak البرمجة النصية عبر المواقع في النظام المستهدف.

قد يؤدي خطأ خرائط Google إلى هجوم XSS

تكافئ Google أي شخص يجد خطأً في أي من منتجاتها أو خدماتها من خلال برنامج مكافآت نقاط الضعف (VRP). حتى الآن ، كافأ المراسلين على سوء السلوك ، بقيمة 6.5 مليون دولار في عام 2019 وحده. والآن تكافئ مراسلًا يدعى زوهار شاحار ، رئيس الأمن في Wix.com ، على إشارته إلى خطأ في منصة الخرائط.

في منشور مدونة، وصف عيبًا في طريقة معالجة الخرائط للتصدير عند إنشاء الخريطة وحفظها. وجد أن Google تحفظ الخريطة التي تم إنشاؤها حديثًا بتنسيقات مختلفة ، حيث KML هي تلك التي تستخدم بنية تعتمد على العلامات بناءً على معيار XML.

تم تعيين اسم الخريطة بهذا التنسيق على الفتح كداتا وهذا الرمز “لا يقدمه المتصفح”. مع أخذ ذلك في الاعتبار ، أضافت أحرفًا خاصة إلى علامة CDATA ، مثل “]]>” ، والتي تتجاوز التحقق من العلامة وتسمح لها بتضمين أي محتوى XML مع الاسم. قد يؤدي حفظ هذا ومشاركة رابط للخريطة التي تم إنشاؤها حديثًا إلى الوجهة إلى تعريضه للخطر مع XSS لأنه يقوم بتحميل خريطة ضارة.

تلقى ما يقرب من 5000 دولار للإبلاغ عن هذا الخطأ الذي أصدرت Google فيه إصلاحًا في 7 يونيو. لكن الأمر لا يتوقف عند هذا الحد. اكتشف Shachar أن Google قامت للتو بإلحاق علامة CDATA جديدة لإغلاق العلامة المعيبة الأصلية التي لا يزال من الممكن استخدامها مع علامتي CDATA مغلقتين لإدخال رمز ضار. بعد تقديم إصلاح غير صحيح ، حصل على نفس المبلغ مرة أخرى ، وبذلك يصل إجمالي العائد إلى 10000 دولار.

أخبار شعبية أخرى: – أخبار

scroll to top