网站建设行业文章3
当前位置: 首页 -> 企业资讯 -> 行业文章 -> 5000美刀的谷歌XSS
鸿大千秋新闻顶部侧栏



5000美刀的谷歌XSS



亲爱的黑阔们:

最近我在找谷歌的一个叫做tagmanager的服务漏洞,这个服务被用作SEO运营。我主要研究的就是在找有木有可以插XSS的地方。但是所有的域都有过滤特殊字符的防护,各位可以从下面的图看出来。所以在这上面下功夫真的是脑洞不够……

1

但是接下来我发现Tagmanager允许用户以JSON文件的形式上传一些的标签、宏、自定义数据等……

2

接下来呢我就下载了个json模板文件并编辑了下它的头(本是不允许使用特殊字符的)

你猜怎么着?上传并重写设置之后,Payload居然执行了

这就是我发送的POC

视频(自带梯子):->

http://blog.it-securityguard.com/bugbounty-the-5000-google-xss/

^O^

3

么么哒……



鸿大千秋网站建设团队敬上







Copyright © hongdaChiaki. All Rights Reserved. 鸿大千秋 版权所有


联系方式:
地址: 深圳市南山区招商街道沿山社区沿山路43号创业壹号大楼A栋107室
邮箱:service@hongdaqianqiu.com
备案号:粤ICP备15078875号