原文链接:https://apapedulimu.click/clickjacking-on-google-myaccount-worth-7500/
最近,我从Google中得到了惊喜,我在我的账户上发现了点击劫持bug。他们为了这个简单的bug还奖励了我7500美元。太神奇了,对吧?.2018年3月我就发现了这个bug,但是点击劫持被CSP阻止了,8月我找到了绕过它的方法。
事实上,我一直在研究business.google.com的子域,四处看看,只是dummies touching the feature(新手,这个不知道怎么翻译),查看响应和请求,尝试一件愚蠢的事,编辑参数等等,当我想管理用户的时候,将我重定向到了myaccount.google.com,在那里我发现了这个bug。
我看了一下我可爱的 Community Edition of Burp Suite,header头没有配置 X-Frame-Option。当时,我使用Firefox ESR,我制作简单的HTML只是为了加载iframe,然后一切很成功,报告这个bug,然而结果并不是这样。因为在Firefox Quantum上,显示被CSP阻止。
Clickjacking Blocked By CSP on Modern Browser
听到这个我很沮丧,但我意识到我太没头脑了。所以,没关系。我不再研究谷歌的bug,一直到8月15日,我试图重新审视我以前的研究。更加专注,当然还有我的黑咖啡。我试着理解代码的工作。
我意识到CSP规则是否是从我的请求参数反映出来的。我是在business.google.com上找到的,所以主机的参数是business.google.com。
URL : https://myaccount.google.com/u/0/brandaccounts/group/101656179839819660704/managers?originProduct=AC&origin=https://business.google.com
And the respond is :
我意识到是否主机只接受origin参数来自business.google.com的请求。所以,我认为只有请求来自business.google.com上才会执行。但是,我尝试将参数origin编辑为https://akugalau.business.google.com。接受了!但是,使用这个子域是不可能的。嗯。
好吧,csp还在这里,我什么都做不了,对吗?是吗,我必须放弃?拜托,这是一家大公司,我呢?只是一个心碎的孩子,伤心!
但是,我有很多空闲时间做愚蠢的事,对吗?所以,我只是在origin参数上添加了非法的字符。我试着把url编码放在business.google.com之前。变成这样:
https://myaccount.google.com/u/0/brandaccounts/group/101656179839819660704/managers?originProduct=AC&origin=https://%0d.business.google.com
CSP消失了,w000tttttt!!!!?!@?#!@?3!@?3?
我尝试这样去iframe,然后成功地执行了点击劫持g:“”。我的状况介于不相信这个和快乐之间。
如果你问我添加URL编码的逻辑在哪里的话。我也不懂:“我只是个幸运的孩子。
我很快做出报告并提交给谷歌。一个月后,我仅仅是期望它值3133.7或者是5000美元。但是,谷歌给了我更大的赏金,他们给了我7500美元。什么!
我不知道该说什么。我不相信,因为我只是个没用的孩子。
PoC Code :
攻击场景:
1。管理员在group-id上邀请新用户
2。新用户将接受邀请
3。新用户知道 {your-group-id}
4。新用户创建一个恶意页面,包括此点击劫持,以欺骗管理员将新用户帐户设为owner。
5。该组由新用户接管。
时间线:
8月11日:向谷歌报告
8月15日:谷歌员工询问详情
8月15日:添加细节
8月21日:谷歌无法证明bug存在
8月21日:给他们视频演示POC
8月28日:谷歌询问攻击场景
8月28日:给出攻击场景
9月11日:很好的接球!
9月25日:奖金7500$
9月25日:我哭了。
而且,非常感谢印度尼西亚所有的bug猎手社区,他们教了我很多关于bug赏金和bug猎手道德的知识。