声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 |
---|
大家好,我是Sokol Çavdarbasha,来自科索沃,今年 20 岁,欢迎阅读我在 Google 图书上发现的第一个关于漏洞的故事。现在我们已经完成了这些,我们可以了解本文的真正内容了。
有一天,我决定在Google上寻找漏洞,我正在寻找XSS跨站脚本。所以我开始深入研究google.com,并且专注于Google图书。
所以我想为什么不在这里尝试XSS,我在搜索栏中输入以下有效负载“><img src=x onerror=alert(1)>,然后我得到了一本书,另一位安全研究人员将其上传到 https: //play.google.com
所以我按下“Preview”按钮,XSS被触发
XSS成功触发,所以我很快将其报告给Google VRP团队,他们很快做出了回应……!
我很高兴收到Google VRP团队的“Nice catch”回复,优先级为P1,严重性为S1,并获得了XXXX美元奖励,因为这是我向Google报告的第一个有效错误。