Google हैक के लिए हैकर्स को 10,000 डॉलर मिलते हैं

डिटेक्टिफाई सिक्योरिटी रिसर्च टीम ने Google सर्वर पर एक गंभीर भेद्यता की खोज की।
हैकिंग लंबे समय से ज्ञात भेद्यता XXE (XML बाहरी इकाई) प्रसंस्करण पर आधारित थी।



यह "छेद" आपको बाहरी संस्थाओं को एम्बेड करने की अनुमति देता है, उदाहरण के लिए, किसी फ़ाइल के अलग-अलग हिस्सों को डाउनलोड करने के लिए, हालांकि, यदि कोई हैकर किसी सर्किट में कोड के अनियंत्रित टुकड़े को एम्बेड कर सकता है, तो इससे गंभीर परिणाम हो सकते हैं, उदाहरण के लिए, सर्वर पर एक मनमानी फ़ाइल को पढ़ना।

संपूर्ण दोष Google सेवाओं में से एक था, अर्थात् टूलबार बटन गैलरी। शोधकर्ताओं ने पाया कि टूलबार स्थापित करने की सुविधा के लिए, उपयोगकर्ता सेटिंग्स के साथ XML फ़ाइल अपलोड की अनुमति है। कोड के एक विशेष अनुभाग को एक फ़ाइल में इंजेक्ट करके और सर्वर पर अपलोड करके, हैकर्स को आवश्यक डेटा मिला, XXE ने काम किया।



सुरक्षा गार्डों ने /etc/passwd और /etc/hosts फ़ाइलों को पढ़ने के रूप में भेद्यता का प्रदर्शन करने के लिए खुद को सीमित कर लिया, लेकिन भेद्यता की संभावनाएं इस तक सीमित नहीं हैं। उदाहरण के लिए, XXE का उपयोग करके सेवा से इनकार करना संभव था, SSRF और, सही दृष्टिकोण के साथ, लक्ष्य सर्वर पर मनमाना कोड का निष्पादन। कमजोरियों के लिए इनाम कार्यक्रम के तहत, Google ने शोधकर्ताओं को $ 10,000 का इनाम दिया।