主站

分类

漏洞 工具 极客 web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据库安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

被Google忽略的XSS漏洞
2012-11-16 11:42:14

事情是这样的。9.11日,我提交了一个google存储型XSS漏洞,并且得到了Google安全团队的回复。

1



Google安全团队认为,这个XSS发生在google的沙盒域googleusercontent.com中,这个沙盒域不包含任何谷歌服务的session cookie,也与谷歌主站数据无关。

对于谷歌忽略漏洞且两个月不修复的态度,漏洞发现者表示相当不满意,于是公开了这个XSS漏洞利用过程。不过FreeBuf小编认为,这个xss漏洞利用过程还是有点意思的,并且到现在仍然可重现


1.) 在google建立钓鱼页面
2.) 用户会登录这个页面,并且在地址栏中含有google.com
3.) 使用跨站脚本漏洞,我建立了一个弹出框,让google用户认为他们的cookie到期了,需要重新登录
4.) 钓鱼登录表单会把受害者的登录信息送到我的服务器上

钓鱼页面如下图:

2


地址

对于这个漏洞,Freebufer们,你怎么看呢?

本文作者:, 转载请注明来自FreeBuf.COM

被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦