搜文章
推荐 原创 视频 Java开发 iOS开发 前端开发 JavaScript开发 Android开发 PHP开发 数据库 开发工具 Python开发 Kotlin开发 Ruby开发 .NET开发 服务器运维 开放平台 架构师 大数据 云计算 人工智能 开发语言 其它开发
Lambda在线 > ChaMd5安全团队 > google translate xss

google translate xss

ChaMd5安全团队 2018-06-29

身为chamd5最帅的,一直默默无闻的打酱油,不挖洞,也不打ctf,我怕老M打我,发个文章糊弄一下~~~~
今天就讲个一个比较鸡肋,但是有趣的漏洞案例。谷歌翻译的xss漏洞。

谷歌翻译可以直接导入文件,翻译整个文件。这里在导入完解析文件的时候没有过滤导致xss漏洞。
重点来了,xsspayload不是写在文件内容里,而是在字体,字体,字体,字体,字体!!!

新建一个doc文章,字体设置为 " onmousemove='alert(1);',内容随意,然后保存。这里会提示字体保存成自定义的,在别的设备不可用,不用管它,保存。

google translate xss

然后到 https://translate.google.com,选择翻译文件,上传刚才编辑的doc文件。。。。然后有人敲你家门了,你好,顺丰快递~~~~


版权声明:本站内容全部来自于腾讯微信公众号,属第三方自助推荐收录。《google translate xss》的版权归原作者「ChaMd5安全团队」所有,文章言论观点不代表Lambda在线的观点, Lambda在线不承担任何法律责任。如需删除可联系QQ:516101458

文章来源: 阅读原文

相关阅读

关注ChaMd5安全团队微信公众号

ChaMd5安全团队微信公众号:chamd5sec

ChaMd5安全团队

手机扫描上方二维码即可关注ChaMd5安全团队微信公众号

ChaMd5安全团队最新文章

精品公众号随机推荐