近日獲悉，安全研究人員在谷歌的一個后端應用程序中，發(fā)現(xiàn)了XSS漏洞，黑客利用該漏洞或能竊取谷歌內部應用程序的員工cookie并劫持賬號，從而發(fā)起魚叉式釣魚攻擊。

什么是XSS漏洞？其實指的是cross sitescript跨站腳本攻擊，為了避免和css重復，就叫XSS了，是客戶端腳本安全中的頭號大敵，并且分成反射型、反射型和DOM Based XSS。XSS漏洞的主要危害在于，其能劫持Cookie。

眾所周知，cookie中一般加密保存了用戶的登錄憑證，瀏覽器發(fā)起的所有請求都會自動帶上，如果Cookie被盜取，也就是說用戶不用通過密碼而直接登錄你的賬戶。此外，XSS漏洞的危害還在于構建Get和Post請求，如果cookie按照上述進行了設置，則無法直接劫持cookie來使用了，但是XSS可以在javascript中構建get或者post請求，來實現(xiàn)自己的攻擊。

再者，就是前面講到的XSS釣魚。攻擊者可以將XSS和釣魚結合在一起，例如通過javascript代碼模擬出網(wǎng)站的登錄框，用戶輸入用戶名和密碼后，XSS將這些信息發(fā)送到服務器端，用來進行攻擊。此外，XSS還可以識別用戶的瀏覽器信息、用戶安裝的軟件以及用戶真實的IP等信息。

回到本次事件，在今年2月份的時候，安全研究人員Thomas Orlita便發(fā)現(xiàn)了這個攻擊途徑。漏洞在4月中旬已經(jīng)修復，不過直到現(xiàn)在才公布。該安全漏洞為XSS（跨站點腳本）漏洞，影響了谷歌發(fā)票提交門戶，谷歌的業(yè)務合作伙伴在此處提交發(fā)票。大多數(shù)XSS漏洞被認為是良性的，但也有少數(shù)情況下，這些類型的漏洞會導致嚴重的后果。

其中一個漏洞就是Orlita的發(fā)現(xiàn)。對此，研究人員表示，惡意威脅行動者可將格式不正確的文件上傳到谷歌發(fā)票提交門戶。攻擊者使用代理可以在表單提交和驗證操作完成后立即攔截上傳的文件，并將文檔從PDF修改為HTML，注入XSS惡意負載。數(shù)據(jù)最終將存儲在谷歌的發(fā)票系統(tǒng)后端，并在員工試圖查看它時自動執(zhí)行。

Orlita表示，員工登錄時在googleplex.com子域名上執(zhí)行XSS漏洞，攻擊者能夠訪問該子域名上的dashboard，從而查看和管理發(fā)票。根據(jù)googleplex.com上配置cookie的方式，黑客還可以訪問該域中托管的其他內部應用程序。實際上，就像大多數(shù)XSS安全漏洞一樣，這個漏洞的嚴重程度取決于黑客的技能水平。