原文鏈接：https://apapedulimu.click/clickjacking-on-google-myaccount-worth-7500/

? 最近，我從Google中得到了驚喜，我在我的賬戶上發(fā)現(xiàn)了點擊劫持bug。他們?yōu)榱诉@個簡單的bug還獎勵了我7500美元。太神奇了，對吧？.2018年3月我就發(fā)現(xiàn)了這個bug，但是點擊劫持被CSP阻止了，8月我找到了繞過它的方法。

? 事實上，我一直在研究business.google.com的子域，四處看看，只是dummies touching the feature(新手，這個不知道怎么翻譯)，查看響應和請求，嘗試一件愚蠢的事，編輯參數(shù)等等，當我想管理用戶的時候，將我重定向到了myaccount.google.com，在那里我發(fā)現(xiàn)了這個bug。

? 我看了一下我可愛的 Community Edition of Burp Suite，header頭沒有配置 X-Frame-Option。當時，我使用Firefox ESR，我制作簡單的HTML只是為了加載iframe，然后一切很成功，報告這個bug，然而結果并不是這樣。因為在Firefox Quantum上，顯示被CSP阻止。

Clickjacking Blocked By CSP on Modern Browser

? 聽到這個我很沮喪，但我意識到我太沒頭腦了。所以，沒關系。我不再研究谷歌的bug，一直到8月15日，我試圖重新審視我以前的研究。更加專注，當然還有我的黑咖啡。我試著理解代碼的工作。

? 我意識到CSP規(guī)則是否是從我的請求參數(shù)反映出來的。我是在business.google.com上找到的，所以主機的參數(shù)是business.google.com。

URL :?https://myaccount.google.com/u/0/brandaccounts/group/101656179839819660704/managers?originProduct=AC&origin=https://business.google.com

And the respond is :

? 我意識到是否主機只接受origin參數(shù)來自business.google.com的請求。所以，我認為只有請求來自business.google.com上才會執(zhí)行。但是，我嘗試將參數(shù)origin編輯為https://akugalau.business.google.com。接受了！但是，使用這個子域是不可能的。嗯。

? 好吧，csp還在這里，我什么都做不了，對嗎？是嗎，我必須放棄？拜托，這是一家大公司，我呢？只是一個心碎的孩子，傷心！

? 但是，我有很多空閑時間做愚蠢的事，對嗎？所以，我只是在origin參數(shù)上添加了非法的字符。我試著把url編碼放在business.google.com之前。變成這樣：

https://myaccount.google.com/u/0/brandaccounts/group/101656179839819660704/managers?originProduct=AC&origin=https://%0d.business.google.com

? CSP消失了，w000tttttt!!!!?!@?#!@?3!@?3?

? 我嘗試這樣去iframe，然后成功地執(zhí)行了點擊劫持g:“”。我的狀況介于不相信這個和快樂之間。

? 如果你問我添加URL編碼的邏輯在哪里的話。我也不懂：“我只是個幸運的孩子。

? 我很快做出報告并提交給谷歌。一個月后，我僅僅是期望它值3133.7或者是5000美元。但是，谷歌給了我更大的賞金，他們給了我7500美元。什么！

? 我不知道該說什么。我不相信，因為我只是個沒用的孩子。

PoC Code :?

<iframe src=”https://myaccount.google.com/u/0/brandaccounts/group/{your-group-id}/managers?originProduct=AC&origin=https://%0d.business.google.com” width=”1000″ height=”1000″>

攻擊場景：

1。管理員在group-id上邀請新用戶

2。新用戶將接受邀請

3。新用戶知道 {your-group-id}

4。新用戶創(chuàng)建一個惡意頁面，包括此點擊劫持，以欺騙管理員將新用戶帳戶設為owner。

5。該組由新用戶接管。

時間線：

8月11日：向谷歌報告

8月15日：谷歌員工詢問詳情

8月15日：添加細節(jié)

8月21日：谷歌無法證明bug存在

8月21日：給他們視頻演示POC

8月28日：谷歌詢問攻擊場景

8月28日：給出攻擊場景

9月11日：很好的接球！

9月25日：獎金7500$

9月25日：我哭了。

? 而且，非常感謝印度尼西亞所有的bug獵手社區(qū)，他們教了我很多關于bug賞金和bug獵手道德的知識。