价值3133.7美金的谷歌(Google)存储型XSS漏洞

在漏洞挖掘领域,不谈赏金和其它功利的东西,如果能发现谷歌公司的漏洞或进入其名人堂致谢榜,就已经非常不错的了。今天我要分享的这个漏洞,是迄今为止我上报漏洞中最简单容易的一个。

发现目标

在今年年初2月份的时候,我在Facebook上发誓要获得谷歌名人堂致谢(Hall of Fame),选择了这个目标,我就只好一往直前了。

作为一名职业律师,除了正常的法律工作之外,每天我只有差不多6小时的自由爱好时间。今年3月8日,当我在查看Gmail邮件时,随手点开了Gmail右上方的‘谷歌更多应用’标签按钮,谷歌的各种产品映入我的眼帘,如下:

浏览过整个谷歌产品之后,我把目标锁定为谷歌的广告服务产品Google AdWords,AdWords为文本广告、横幅广告和多元媒体广告提供每点击成本(PPC)、千人点击成本(CPM)和指定站点广告发布服务,该产品用于在用户进行谷歌搜索提供的产品或服务时向其投放相应的广告。

我登录进入Google AdWords之后,抱着试试的心态,我执行了一系列测试,从一个页面到另一个页面。我测试了很多种WEB类型的Payload,希望能有奇迹出现。终于,在我访问到以下这个页面

https://adwords.google.com/aw/conversions

发现漏洞

Conversions是Google AdWords的广告转化跟踪功能,它能为广告商揭示客户在与广告进行互动后所采取的行动:即客户是否购买了产品、注册了简报、给商家致电还是下载了商家应用等。如果客户完成某个广告商设定为有价值的操作,此类客户操作就称为转化。由此,我打算创建一个转化跟踪功能,在其转化功能名称中,我填写了以下这个Payload:

“><svg/onload=alert(document.domain)>”@x.y

在写入这个Payload之后,其XSS alert框就跳出来好多次,我觉得这应该是一个鸡肋的self-XSS吧,所以在浏览器中作了XSS消息阻拦设置,并继续完成了后续的转化跟踪功能填写。

完成填写后,我点击转化跟踪保存(Save Conversation),之后,估计是我对XSS作了阻拦设置,其alert框没有跳出来。于是,我复制了整个链接到了另外一个新的浏览器标签中进行打开,然后,我就被震惊了!这个XSS Payload能被有效储存在其中,并且可在最新的浏览器版本中实现响应:

也能在Firefox火狐浏览器中实现:

漏洞奖励

好了,到此为止吧。喝杯咖啡,来支雪茄,赶紧上报漏洞吧。我做了个小视频演示上报给Google,之后,就静待佳音了。希望不是重复报。最终,不负我望,我收到了Google的反馈:

获得了Google官方3133.7美金的奖励,还有幸被列入了谷歌名人堂:

漏洞上报进程

2018.3.8 发现漏洞并向Google上报 2018.3.8 收到Google的有效漏洞反馈和称赞 2018.3.20 Google关闭漏洞报告并执行漏洞修复,向我奖励了$ 3133.7 美金

*参考来源:medium,clouds编译

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-10-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云服务器

哪种云服务器适合小型企业使用?

云服务器的操作简单、低成本的特点成为了小型企业选择服务器的首选。它支持随时随地过任何移动设备获得访问权限。云计算为小型企业提供了以前不敢相信的技术,并让他们可以...

3876
来自专栏IT派

【大数据分析必备】超全国内常用API接口汇总

下面列举了100多个国内常用API接口,并按照 笔记、出行、词典、电商、地图、电影、即时通讯、开发者网站、快递查询、旅游、社交、视频、天气、团队协作、图片与图像...

2.4K0
来自专栏IT技术精选文摘

见证微信强大后台架构从0到1的演进历程

2884
来自专栏GopherCoder

『简书API : jianshu 基于 golang (1)』

1974
来自专栏镁客网

微软Edge浏览器支持WebVR,小举动背后的“大阴谋”

1083
来自专栏章鱼的慢慢技术路

做游戏服务器端开发时的一些收获与总结

在此我的想法是在LeetCode上刷标签为哈希表(hashtable)、排序(sort)和搜索(search)的题型,同时还可以在HankerRank和Leet...

1461
来自专栏java一日一条

程序员你为什么这么累?

大家一提到程序员,首先想到的是以下标签:苦逼,加班,熬夜通宵。但是,但凡工作了的同学都知道,其实大部分程序员做的事情都很简单,代码CRUD可以说毫无技术含量,就...

994
来自专栏BIT泽清

2018年【开发者必看】金融p2p无资质上架app store已过审经历教程

自从国内上架金融理财贷款P2P类型的App必须要具备金融资质后,现在想要上架到App Store已经很难了,就算你有了资质还不一定能够。下面就给大家分享一下关于...

1K15
来自专栏数据科学与人工智能

【数据】常用API接口汇总

下面列举了100多个国内常用API接口,并按照 笔记、出行、词典、电商、地图、电影、即时通讯、开发者网站、快递查询、旅游、社交、视频、天气、团队协作、图片与图像...

5.3K9
来自专栏安恒信息

安恒天池云安全平台“八大能力”助力企事业单位安全上云

安恒天池云安全运营平台是汇聚了安恒十年的安全攻防能力的云安全运营平台。向下兼容不同云平台,向上兼容不同的安全产品,通过不断汇聚安全能力,赋能云平台,从云监测、云...

4336

扫码关注云+社区

领取腾讯云代金券