举报谷歌工具栏漏洞有功，他们赢得1万美金

还记得那个经典的Google工具栏吗？

虽然这款谷歌工具栏逐渐整合至Chrome浏览器中，但是谷歌仍然保持谷歌工具栏产品线，例如谷歌工具栏按钮库，支持添加各类话题的搜索按钮图标，但这款工具栏同样暗藏危险的安全漏洞。

近期，谷歌为来自Detectify安全研究员们颁发10000美金，奖励他们举报一枚全新的XXE（XML External Entity）漏洞。

据安全专家介绍，这款漏洞来自谷歌旗下的Google工具栏按钮库站点。在该站点下，谷歌允许用户自定义使用新按钮图标应到到搜索工具栏项目上，但研究员发现相应的安全后门。例如，开发者可以通过上传一份包含设计类元数据的XML文件至谷歌服务器。

据安全专家介绍，“我们团队中的Fredrik研究这些API接口特性后，精心设计他自己一款内置XML实体的按钮图标。当搜索相应按钮时，他注意到该页面的标题及描述说明将自动打印回馈，于是他计划使用一次XXE安全攻击试验。”

最终，Fredrik成功完成自己的攻击试验，并向谷歌反馈该漏洞报告。

目前，谷歌公司的安全团队已经证实该漏洞问题，预计几天后修复XXE漏洞。

广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，IT之家所有文章均包含本声明。