点击上方蓝字关注我们概述
artsexperiments.withgoogle.com中的XSS漏洞
研究人员使用了两种工具来查找artsexperiments.withgoogle.com中的XSS漏洞,这两种工具分别是Paramspider和kxss。
研究人员提供了一个脚本作为输入,该脚本的文件名包含一个子域列表。然后使用for循环逐个遍历子域列表,以在列表中查找带有参数的所有URL地址。然后将输出通过管道传递到kxss工具,该工具会寻找某些字符(例如“,>,<,”)的反射,从而可以判断该端点是否存在xss漏洞。
or i in `cat $1`;dopython3 ~/tools/ParamSpider/paramspider.py -d $i --exclude woff,css,js,png,svg,jpgdone;cd outputcat *.txt |~/go/bin/kxss|tee kxss.txt
研究人员只收集了withgoogle.com的子域列表,并将其传递给该脚本,发现反射出了,>,<,字符。
存在XSS漏洞的网站地址为:https://artsexperiments.withgoogle.com/living-archive/?token=158753034。可以在此处上传任何常见的有效载荷,如:
“>
appsheet.com中的IDOR漏洞
研究人员发现https://www.appsheet.com/api/template/{appId}/端点中发现了一个之前被披露的IDOR越权漏洞。该IDOR漏洞在GET方法中被修复了,但在POST方法中仍然存在,且请求体中也包含一些数据。
研究人员找到的IDOR的完整请求,如下所示:
在响应中,将可以获得该应用程序的所有详细信息,包括所有者的电子邮件、firebase令牌等。
在发现漏洞后,研究人员立即将其上报给了谷歌安全团队。谷歌安全团队回复道:“他们无法重现该IDOR越权漏洞,因为当他们在该请求中使用其他用户的appId时,将显示禁止错误。“
在收到回复后,研究人员为谷歌安全团队提供了appId列表以及包含其cookie的curl请求,以帮助他们重现该漏洞。
最后,研究人员收到了谷歌奖励的500美元的赏金。但在4个月后,研究人员收到了谷歌的消息,其表明这可能并不是一个漏洞,并让研究人员检查其应用程序是否进行了某些设置,如将允许他人访问设置为公开等。研究人员使用的是默认设置,并未进行更改。
为了验证该漏洞的有效性,研究人员又进行了多次尝试,并最终发现要使IDOR正常工作,需要提供与App关联的特定版本。谷歌在证实了这的确是一个有效的漏洞后,对其进行了修复,并额外奖励了研究人员500美元的赏金。
END
