在谷歌云平台发现两个XSS漏洞

Google Cloud Platform 存在安全漏洞

文章重点

最近，一名安全研究员披露，他在Google Cloud Platform上发现了两个漏洞，一个位于DevSite，另一个在Google Play。这些漏洞涉及不当代码，可能导致通过跨站脚本XSS攻击劫持账户。

这两个漏洞是由NDevTK报告的，该用户在推特上发布了一条链接，指向研究员的GitHub页面。研究员在DevSite漏洞中获得了 313370 的赏金，而在Google Play的漏洞中获得了 5000 的奖励。

就DevSite漏洞而言，NDevTK指出，攻击者控制的链接能够在 http//cloudgooglecom 和 http//developersgooglecom 的源上执行JavaScript，这意味着恶意行为者可以读取和修改其内容，从而绕过同源策略。

关于Google Play漏洞，研究员表示，Google Play控制台的搜索页面上，当搜索结果出错时，会运行易受攻击的代码，这为攻击者提供了机会。

“XSS攻击由来已久，彻底消除它们是一个困难的任务，”Vulcan Cyber的高级技术工程师Mike Parkin说道。“代码越复杂，漏掉所有潜在漏洞的可能性就越大，”Parkin补充道。

BluBracket的产品增长负责人Casey Bisson指出，积极进取的团队正在采用自动化安全工具，帮助开发人员在每次提交和拉取请求中检测和消除不当编码实践和代码中的秘密信息，例如默认密码或后门密码。

Bisson表示：“下一步是将应用安全工程师更早地融入开发流程，以主动将安全设计融入产品和服务中。”