码迷,mamicode.com
首页 > 其他好文 > 详细

[BugBounty] Sleeping stored Google XSS Awakens a $5000 Bounty

时间:2019-02-14 00:17:45      阅读:176      评论:0      收藏:0      [点我收藏+]

标签:技术   tin   NPU   yguard   uri   利用   twitter   xpl   img   

来源:https://blog.it-securityguard.com/bugbounty-sleeping-stored-google-xss-awakens-a-5000-bounty/

理解

这篇文章主要是介绍了Google云端控制台上发现的存储型跨站点脚本(XSS)问题。

Google提供60天 免费试用 ,预算为300美元,所需要的只是输入(正确)付款信息以证明您不是机器人。

Google云:https://cloud.google.com/free/

在项目,标题为

"><img src=x onerror=javascript:alert(1);> … 

的情况下,XSS Payload被执行了。

技术图片

由于x不是有效的URL,因此设计为使用404 HTTP响应立即失败,然后调用onerror事件来执行javascript函数。

这种情况下可以使用两种攻击利用方法。

作者为Google VRP发送的视频POC:

https://youtu.be/AlNkfKReH_I

资源

Twitter:
https://twitter.com/fransrosen
https://twitter.com/jobertabma
https://twitter.com/yaworsk
资源:
https://leanpub.com/web-hacking-101
https://insinuator.net/

[BugBounty] Sleeping stored Google XSS Awakens a $5000 Bounty

标签:技术   tin   NPU   yguard   uri   利用   twitter   xpl   img   

原文地址:https://www.cnblogs.com/17bdw/p/10372402.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!