image

Student krijgt eenvoudig toegang tot beheerderspaneel Google

maandag 5 maart 2018, 14:08 door Redactie, 6 reacties

Een Indiase student heeft op een zeer eenvoudige manier toegang gekregen tot het interne beheerderspaneel van Google waarmee onder andere YouTube wordt beheerd. Google beschikt over verschillende beheerderspanelen die alleen voor bepaalde ip-adressen toegankelijk zijn.

Engineering-student Vishnu Prasad wilde kijken of hij deze ip-beperking kon omzeilen. Tijdens het onderzoek viel echter zijn stroom uit, en daarmee ook zijn computer. Vervolgens besloot hij met zijn smartphone naar de beheerderspanelen van Google gaan en tot zijn grote verbazing kreeg hij een inlogscherm te zien. Aangezien hij geen inloggegevens had koos hij direct voor "login" en werd vervolgens ingelogd op het beheerderspaneel.

In eerste instantie was het onduidelijk hoe de student het beheerderspaneel kon bereiken, aangezien dit niet vanaf zijn computer werkte. Prasad bleek gebruik te maken van de Databesparing van Chrome. Hierbij wordt het grootste gedeelte van het webverkeer verwerkt via de servers van Google voordat het wordt gedownload naar de gebruiker. "Er wordt minder data gedownload naar uw apparaat, omdat de servers van Google deze eerst comprimeren", aldus de uitleg van Google.

De servers van Google fungeren in dit geval als een proxy en gaven Prassad toegang tot de interne pagina's van de internetgigant. Nadat de onderzoeker de proxy aan zijn computer toevoegde wist hij ook daarvandaan toegang tot de beheerderspanelen van Google te krijgen. Na te zijn ingelicht heeft Google het beveiligingsprobleem verholpen en de student met een bedrag van 13.337 dollar beloond.

Reacties (6)
05-03-2018, 14:30 door [Account Verwijderd]
13337 >> 1337 . Leuk.
05-03-2018, 18:18 door Anoniem
Een leuk bedrag voor die jongen,hij had dit denk ik per toeval onddekt dat hij bij google het dashbord op kon zomaar.
05-03-2018, 18:45 door Anoniem
31337 was blijkbaar teveel
05-03-2018, 20:09 door Anoniem
Bijzonder: Op de support pagina van Google staat “Data Saver won't work if you're on secure pages (addresses that start with https://)”

Maar hun locale netwerk zal wel veilig zijn.
05-03-2018, 22:59 door Anoniem
De vraag is echter of hier al misbruik van is gemaakt. Daar ben ik toch erg benieuwd naar.
06-03-2018, 06:03 door Anoniem
Dat was je als NL onderzoeker dus alleen gelukt als er weer eens een Apache op oefening rond vloog hehe. Wel een leuke vuln. weer eens iets anders dan de zoveelste sqli of bof.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.