Я обнаружил в Google инъекцию ссылки с атрибутом href, которая может скомпрометировать пользователя с помощью поддельной ссылки или загрузить вредоносный файл.
Проблема:
Мы можем ввести любую ссылку на admin.google.com, добавив путь к URL-адресу, путь в self вводится и отображается как ссылка на странице, мы можем поместить любой домен нашего свойства и перенаправить пользователя или заставить пользователя скачать злой файл.
Влияние:
Злоумышленник может использовать эти ссылки для отправки большого количества писем, распространения в социальных сетях и обмана пользователя, чтобы щелкнуть ссылку, заражая вредоносным ПО большое количество пользователей, перенаправляя их или заставляя загружать вредоносные файлы.
Технические подробности:
Конечная точка злонамеренного URL - › https://admin.google.com/google-mail.info/accountchooser?u=click-above-google-mail.info@google
[google-mail.info] - ›это поддельный домен, который я покупаю, этот путь вводится и отображается непосредственно в html сети
[U=click-above-google-mail.info@google] - это ввод текста в информацию аккаунта Google.
Отрисованная страница выглядит так:
Мы видим визуализированную ссылку и вставку текста. Google-mail.info - это злой домен, который я покупаю и заставляю пользователя загружать файл или перенаправлять его на внешний злой сайт без каких-либо рекомендаций Google.
Домен google-mail.info, введенный в путь и отображаемый, может быть любым доменом, я использую google-mail.info, потому что он больше доверяет пользователям и легче обмануть пользователя, чтобы щелкнуть по нему.
Ответ Google:
Я отправляю отчет, и гугл получает такой ответ:
" Привет,
Спасибо за отчет об ошибке.
Мы изучили вашу заявку и можем подтвердить, что это не уязвимость системы безопасности. Отчеты, демонстрирующие использование с помощью Reflected File Download и других векторов социальной инженерии, обычно выходят за рамки сферы действия Google VRP. «
Вот PoC-видео, которое я отправляю с отчетом:
ПРИМЕЧАНИЕ: проблема / ошибка вообще не исправлена.
С наилучшими пожеланиями, друзья, и удачного взлома
@ak1t4
Https://twitter.com/knowledge_2104