挖洞經驗 | 價值3133.7美金的谷歌(Google)儲存型XSS漏洞
在漏洞挖掘領域,不談賞金和其它功利的東西,如果能發現谷歌公司的漏洞或進入其名人堂致謝榜,就已經非常不錯的了。今天我要分享的這個漏洞,是迄今為止我上報漏洞中最簡單容易的一個。
發現目標
在今年年初2月份的時候,我在Facebook上發誓要獲得谷歌名人堂致謝(Hall of Fame),選擇了這個目標,我就只好一往直前了。
作為一名職業律師,除了正常的法律工作之外,每天我只有差不多6小時的自由愛好時間。今年3月8日,當我在檢視Gmail郵件時,隨手點開了Gmail右上方的‘谷歌更多應用’標籤按鈕,谷歌的各種產品映入我的眼簾,如下:
瀏覽過整個谷歌產品之後,我把目標鎖定為谷歌的廣告服務產品Google AdWords,AdWords為文字廣告、橫幅廣告和多元媒體廣告提供每點選成本(PPC)、千人點選成本(CPM)和指定站點廣告發布服務,該產品用於在使用者進行谷歌搜尋提供的產品或服務時向其投放相應的廣告。
我登入進入Google AdWords之後,抱著試試的心態,我執行了一系列測試,從一個頁面到另一個頁面。我測試了很多種WEB型別的Payload,希望能有奇蹟出現。終於,在我訪問到以下這個頁面
ofollow,noindex" target="_blank">https://adwords.google.com/aw/conversions
發現漏洞
C onversions 是Google AdWords的廣告轉化跟蹤功能,它能為廣告商揭示客戶在與廣告進行互動後所採取的行動:即客戶是否購買了產品、註冊了簡報、給商家致電還是下載了商家應用等。如果客戶完成某個廣告商設定為有價值的操作,此類客戶操作就稱為轉化。由此,我打算建立一個轉化跟蹤功能,在其轉化功能名稱中,我填寫了以下這個Payload:
“><svg/onload=alert(document.domain)>”@x.y
在寫入這個Payload之後,其XSS alert框就跳出來好多次,我覺得這應該是一個雞肋的self-XSS吧,所以在瀏覽器中作了XSS訊息阻攔設定,並繼續完成了後續的轉化跟蹤功能填寫。
完成填寫後,我點選轉化跟蹤儲存(Save Conversation),之後,估計是我對XSS作了阻攔設定,其alert框沒有跳出來。於是,我複製了整個連結到了另外一個新的瀏覽器標籤中進行開啟,然後,我就被震驚了!這個XSS Payload能被有效儲存在其中,並且可在最新的瀏覽器版本中實現響應:
漏洞獎勵
好了,到此為止吧。喝杯咖啡,來支雪茄,趕緊上報漏洞吧。我做了個小視訊演示上報給Google,之後,就靜待佳音了。希望不是重複報。最終,不負我望,我收到了Google的反饋:
獲得了Google官方3133.7美金的獎勵,還有幸被列入了谷歌名人堂: