Google图书上发现存储型XSS

大家好，我是Sokol Çavdarbasha，来自科索沃，今年 20 岁，欢迎阅读我在 Google 图书上发现的第一个关于漏洞的故事。现在我们已经完成了这些，我们可以了解本文的真正内容了。

有一天，我决定在Google上寻找漏洞，我正在寻找XSS跨站脚本。所以我开始深入研究google.com，并且专注于Google图书。

图片

所以我想为什么不在这里尝试XSS，我在搜索栏中输入以下有效负载“><img src=x onerror=alert(1)>，然后我得到了一本书，另一位安全研究人员将其上传到 https: //play.google.com

图片

所以我按下“Preview”按钮，XSS被触发

图片

XSS成功触发，所以我很快将其报告给Google VRP团队，他们很快做出了回应……！

• https://bughunters.google.com

图片

我很高兴收到Google VRP团队的“Nice catch”回复，优先级为P1，严重性为S1，并获得了XXXX美元奖励，因为这是我向Google报告的第一个有效错误。