首页 > 其他好文 > 详细

[BugBounty] Sleeping stored Google XSS Awakens a $5000 Bounty

时间：2019-02-14 00:17:45 阅读：176 评论：0 收藏：0 [点我收藏+]

标签：技术 tin NPU yguard uri 利用 twitter xpl img

来源：https://blog.it-securityguard.com/bugbounty-sleeping-stored-google-xss-awakens-a-5000-bounty/

理解

这篇文章主要是介绍了Google云端控制台上发现的存储型跨站点脚本（XSS）问题。

Google提供60天免费试用，预算为300美元，所需要的只是输入（正确）付款信息以证明您不是机器人。

Google云：https://cloud.google.com/free/

在项目，标题为

"><img src=x onerror=javascript:alert(1);> …

的情况下，XSS Payload被执行了。

技术图片

由于x不是有效的URL，因此设计为使用404 HTTP响应立即失败，然后调用onerror事件来执行javascript函数。

这种情况下可以使用两种攻击利用方法。

cookie窃取
Browser Exploitation Framework Project (BEEF)劫持浏览器行为

作者为Google VRP发送的视频POC：

https://youtu.be/AlNkfKReH_I

资源

Twitter：
https://twitter.com/fransrosen
https://twitter.com/jobertabma
https://twitter.com/yaworsk
资源：
https://leanpub.com/web-hacking-101
https://insinuator.net/

[BugBounty] Sleeping stored Google XSS Awakens a $5000 Bounty

标签：技术 tin NPU yguard uri 利用 twitter xpl img

原文地址：https://www.cnblogs.com/17bdw/p/10372402.html

踩

(0)

赞

(0)

举报

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行

更多

友情链接

兰亭集智国之画百度统计站长统计阿里云 chrome插件新版天听网

关于我们 - 联系我们 - 留言反馈

© 2014 mamicode.com 版权所有联系我们:gaon5@hotmail.com

迷上了代码！