搜索

[14546] 2019-09-04_从谷歌防灾地图服务发现Google.org的XSS和Clickjacking漏洞

文档创建者:s7ckTeam
浏览次数:7
最后更新:2025-01-18
2019-09-04_从谷歌防灾地图服务发现Google.org的XSS和Clickjacking漏洞 G o o g l e . o r g X S S C l i c k j a c k i n g c l o u d s   F r e e B u f   2 0 1 9 - 0 9 - 0 4 线 线 G o o g l e   C r i s i s   M a p 2 0 1 2 W e b 访 访 X S S g o o g l e . o r g W r i t e u p G o o g l e   C r i s i s   M a p 2 0 1 2 访 g o o g l e . o r g g o o g l e . c o m h t t p s : / / g o o g l e . o r g / c r i s i s m a p U R L . m a p s h t t p s : / / g o o g l e . o r g / c r i s i s m a p / . m a p s
P u b l i s h e d   M a p   C r e a t e   M a p   G m a i l G S u i t e g m a i l . c o m C o n t i n u e X S S
' A d d   l a y e r ' l a y e r U R L S o u r c e   U R L U R L S o u r c e   U R L j a v a s c r i p t : a l e r t ( d o c u m e n t . d o m a i n ) X S S   P a y l o a d I n v a l i d   U R L     p l e a s e   i n c l u d e   a   p r o t o c o l   ( e . g .   h t t p : / /   o r   h t t p s : / / )
S o u r c e   U R L B u r p S u i t e S o u r c e   U R L h t t p s : / / e x a m p l e . c o m O K P O S T   h t t p s : / / g o o g l e . o r g / c r i s i s m a p / . a p i / m a p s / 1 2 3 4 S o u r c e   U R L h t t p s : / / e x a m p l e . c o m X S S   P a y l o a d   - j a v a s c r i p t : a l e r t ( d o c u m e n t . d o m a i n ) D o w n l o a d   K M L X S S   P a y l o a d : X S S S o u r c e   U R L   f r o n t e n d b a c k e n d U R L e x a m p l e . c o m U R L h t t p : / / g o o g l e . o r g / c r i s i s m a p / e x a m p l e . c o m / t e s t   j a v a s c r i p t :   U R I   X S S   P a y l o a d D o w n l o a d   K M L X S S   P a y l o a d C l i c k j a c k i n g i f   ( u r l   & &   ! u r l . t o L o w e r C a s e ( ) . m a t c h ( " ^ s * ( h t t p : / / | h t t p s : / / | d o c s : / / | $ ) " ) )   {     s h o w E r r o r ( " I n v a l i d   U R L   -   p l e a s e   i n c l u d e   a   p r o t o c o l   ( e . g .   h t t p : / /   o r   h t t p s : / / ) " {     " i d " :   " 1 2 3 4 " ,     " t i t l e " :   " U n t i t l e d   m a p " ,     " b a s e _ m a p _ t y p e " :   " G O O G L E _ R O A D M A P " ,     " l a y e r s " :   [ {         " i d " :   " 1 " ,         " t i t l e " :   " T e s t   l a y e r "
H T T P g o o g l e . o r g X - F r a m e - O p t i o n s X - F r a m e - O p t i o n s   H T T P   < f r a m e > < i f r a m e > < e m b e d >   < o b j e c t >     c l i c k j a c k i n g   i f r a m e X S S C l i c k j a c k i n g < i f r a m e   s r c = " h t t p s : / / g o o g l e . o r g / c r i s i s m a p / e x a m p l e . c o m / t e s t " > < / i f r a m e >
L a y e r s   >   D o w n l o a d   K M L X S S D I V i f r a m e < > P O C   d e m o i f r a m e 5 0
1 怀 2 C l i c k j a c k i n g X - F r a m e - O p t i o n s   3 4 2 0 1 8 . 9 . 1 2         2 0 1 8 . 1 0 . 1 2       P 1 2 0 1 8 . 1 0 . 1 2       N i c e   C a t c h 2 0 1 8 . 1 1 . 1 2         * a p p i o c l o u d s F r e e B u f . C O M

回复

举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

使用Markdown编辑器编辑 使用富文本编辑器编辑

Archiver| 手机版| 小黑屋|
Powered by Discuz! X3.4 Copyright © 2001-2020, Tencent Cloud. 商业源码建议获取授权,如侵犯您的权益,请联系客服处理