算是偶然发现的吧,谷歌的地图有个 url 的跳转功能,在 url 后面追加?q=url 后可以重定向。
首先介绍一下什么是 xss 漏洞:
XSS 漏洞( Cross-Site Scripting ,跨站脚本攻击)是一类常见的 Web 安全漏洞。它的核心问题是:应用程序没有对用户输入的数据进行严格过滤或转义,就把这些数据输出到网页中,从而导致恶意脚本被执行。
攻击者通常通过在网页中插入恶意的 JavaScript 代码来实现攻击,这些代码会在访问页面的用户浏览器中运行。
下面开始漏洞复现:
随便传递一个 url 参数,比如 https://www.huociyuan.com
完整的谷歌地图跳转链接就是: https://maps.google.com/url?q=https://www.huociyuan.com/
打开链接后发现页面显示以下内容:
重定向声明 您所在网页试图将您引至 https://www.huociyuan.com/ 。
如果您不希望访问该页,您可以返回上一页。
问题的关键就在于其中的 url 是可以回显并且可点击的,这种很明显属于 xss 漏洞了。
结尾
想问一下谷歌的漏洞该提交给谁,他们有自己的应急响应中心吗?
 |
1
NewYear 13 天前
这种跳转页不是漏洞,这种跳转页比比皆是。
|
 |
2
dssxzuxc 13 天前  1
|
 |
3
ysc3839 13 天前
你都说了“XSS”是跨站“脚本”攻击,那你成功将“脚本”插入谷歌的网站并执行了吗?你给的例子仅仅是插入了链接,并没有插入脚本。
|
 |
4
K120 13 天前 6
你连 XSS 都没搞清楚还介绍什么是 XSS...
|
 |
5
GeruzoniAnsasu 13 天前
|
 |
6
wxf1259059284 OP 嗨,我还以为来钱了。哎,还是得继续学习,入门好难啊
|
|
7
wxf1259059284 OP @ysc3839 好吧 @ 。 @
|
 |
8
zsh2517 13 天前
非要深究的话,任意链接跳转,一定程度上也可能会被灰产利用,比如用来过白名单拦截(例如某些软件内打开小众网站提示“目标网站危险,禁止访问”,通过一个白名单内的网站进行跳转,有些时候能绕过),或者跳转进入一个钓鱼网站(做一个和谷歌非常像的登录界面,然后通过这种链接来让它看起来更像是一个谷歌的链接)等。之前我见过一些钓鱼网站就是用谷歌翻译的网站翻译搞的
但是这算不上什么漏洞,甚至可以说是互联网跳转第三方站点比较公认的做法——用一个独立的跳转中间页,明确提醒用户“将会跳转到一个站外地址”。比如知乎的 https://link.zhihu.com/?target=https%3A//v2ex.com 简书的 https://www.jianshu.com/go-wild?ac=2&url=https%3A%2F%2Fv2ex.com 等等。如果发现 URL 是已知风险网站,还可以在这个页面上进一步提示和拦截 |
|
9
zsh2517 13 天前
确实存在一种类似的漏洞叫做 SSRF ,简单说原理是需要服务器支持往外发起请求,并且没有过滤内网地址,导致内网网站/本地文件(原本不应该被用户访问到的内容)泄露的问题。但是链接跳转和 SSRF 没啥关系
参考: xss: https://ctf-wiki.org/web/xss/ ssrf: https://ctf-wiki.org/web/ssrf/ |
|
10
wxf1259059284 OP @zsh2517 学到了,感谢🙏🏻
|
|
11
wxf1259059284 OP @zsh2517 学到了,谢谢
|
 |
12
deplives 13 天前 via iPhone
不是 你管这叫 xss 攻击????
|
 |
13
Y25tIGxpdmlk 13 天前
这也算??这明显是人家刻意这么设计的,让你跳转前知道要跳到哪里。
国内站点基本要跳走不都有这种提醒吗?比如知乎啥的。这种你提交上去真的贻笑大方 |
|
14
Y25tIGxpdmlk 13 天前
如果你想说因为他回显了?那你插点 js 试试,能被你绕过各种过滤让他回显执行了,那才叫牛批。应该能值几百刀。
|
 |
15
BigPiggggg 13 天前 1
|
 |
17
hefish 12 天前
这个国内的安全厂商可以把这种标记为高危,然后给甲方爸爸写报告,说发现了高危漏洞,甲方爸爸这钱花的值。
|
Select Language