被Google忽略的XSS漏洞

      被Google忽略的XSS漏洞无评论

事情是这样的。9.11日,我提交了一个google存储型XSS漏洞,并且得到了Google安全团队的回复。

被Google忽略的XSS漏洞


Google安全团队认为,这个XSS发生在google的沙盒域googleusercontent.com中,这个沙盒域不包含任何谷歌服务的session cookie,也与谷歌主站数据无关。

对于谷歌忽略漏洞且两个月不修复的态度,漏洞发现者表示相当不满意,于是公开了这个XSS漏洞利用过程。不过FreeBuf小编认为,这个xss漏洞利用过程还是有点意思的,并且到现在仍然可重现

1.) 在google建立钓鱼页面  2.) 用户会登录这个页面,并且在地址栏中含有google.com  3.) 使用跨站脚本漏洞,我建立了一个弹出框,让google用户认为他们的cookie到期了,需要重新登录  4.) 钓鱼登录表单会把受害者的登录信息送到我的服务器上

钓鱼页面如下图:

被Google忽略的XSS漏洞

地址

对于这个漏洞,Freebufer们,你怎么看呢?

发表评论