首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
广告
wxf1259059284
V2EX  ›  信息安全

发现谷歌地图有 xss,请问该去哪提交给厂商?

  •   
  •   wxf1259059284 · 2025 年 8 月 19 日 · 2980 次点击
    这是一个创建于 145 天前的主题,其中的信息可能已经有所发展或是发生改变。

    算是偶然发现的吧,谷歌的地图有个 url 的跳转功能,在 url 后面追加?q=url 后可以重定向。

    首先介绍一下什么是 xss 漏洞:

    XSS 漏洞( Cross-Site Scripting ,跨站脚本攻击)是一类常见的 Web 安全漏洞。它的核心问题是:应用程序没有对用户输入的数据进行严格过滤或转义,就把这些数据输出到网页中,从而导致恶意脚本被执行。

    攻击者通常通过在网页中插入恶意的 JavaScript 代码来实现攻击,这些代码会在访问页面的用户浏览器中运行。

    下面开始漏洞复现:

    随便传递一个 url 参数,比如 https://www.huociyuan.com

    完整的谷歌地图跳转链接就是: https://maps.google.com/url?q=https://www.huociyuan.com/

    打开链接后发现页面显示以下内容:

    重定向声明 您所在网页试图将您引至 https://www.huociyuan.com/

    如果您不希望访问该页,您可以返回上一页。

    问题的关键就在于其中的 url 是可以回显并且可点击的,这种很明显属于 xss 漏洞了。

    结尾

    想问一下谷歌的漏洞该提交给谁,他们有自己的应急响应中心吗?

  • XSS
  • 谷歌地图
  • 漏洞提交
    17 条回复    2025-08-20 21:06:00 +08:00
    NewYear
        1
    NewYear  
       2025 年 8 月 19 日
    这种跳转页不是漏洞,这种跳转页比比皆是。
    Ketteiron
        2
    Ketteiron  
       2025 年 8 月 19 日   ❤️ 1
    并没有 xss 漏洞
    https://maps.google.com/url?q=javascript:alert(1)
    中间提示页就是用来解决这个问题的
    ysc3839
        3
    ysc3839  
       2025 年 8 月 19 日
    你都说了“XSS”是跨站“脚本”攻击,那你成功将“脚本”插入谷歌的网站并执行了吗?你给的例子仅仅是插入了链接,并没有插入脚本。
    K120
        4
    K120  
       2025 年 8 月 19 日   ❤️ 6
    你连 XSS 都没搞清楚还介绍什么是 XSS...
    GeruzoniAnsasu
        5
    GeruzoniAnsasu  
       2025 年 8 月 19 日
    https://www.v2ex.com/t/465696#r_16644023

    而且特意挖一铲子远古巨坟是在想什么
    wxf1259059284
        6
    wxf1259059284  
    OP
       2025 年 8 月 19 日
    嗨,我还以为来钱了。哎,还是得继续学习,入门好难啊
    wxf1259059284
        7
    wxf1259059284  
    OP
       2025 年 8 月 19 日
    @ysc3839 好吧 @ 。 @
    zsh2517
        8
    zsh2517  
       2025 年 8 月 20 日
    非要深究的话,任意链接跳转,一定程度上也可能会被灰产利用,比如用来过白名单拦截(例如某些软件内打开小众网站提示“目标网站危险,禁止访问”,通过一个白名单内的网站进行跳转,有些时候能绕过),或者跳转进入一个钓鱼网站(做一个和谷歌非常像的登录界面,然后通过这种链接来让它看起来更像是一个谷歌的链接)等。之前我见过一些钓鱼网站就是用谷歌翻译的网站翻译搞的

    但是这算不上什么漏洞,甚至可以说是互联网跳转第三方站点比较公认的做法——用一个独立的跳转中间页,明确提醒用户“将会跳转到一个站外地址”。比如知乎的 https://link.zhihu.com/?target=https%3A//v2ex.com 简书的 https://www.jianshu.com/go-wild?ac=2&url=https%3A%2F%2Fv2ex.com 等等。如果发现 URL 是已知风险网站,还可以在这个页面上进一步提示和拦截
    zsh2517
        9
    zsh2517  
       2025 年 8 月 20 日
    确实存在一种类似的漏洞叫做 SSRF ,简单说原理是需要服务器支持往外发起请求,并且没有过滤内网地址,导致内网网站/本地文件(原本不应该被用户访问到的内容)泄露的问题。但是链接跳转和 SSRF 没啥关系

    参考:

    xss: https://ctf-wiki.org/web/xss/

    ssrf: https://ctf-wiki.org/web/ssrf/
    wxf1259059284
        10
    wxf1259059284  
    OP
       2025 年 8 月 20 日 via iPhone
    @zsh2517 学到了,感谢🙏🏻
    wxf1259059284
        11
    wxf1259059284  
    OP
       2025 年 8 月 20 日 via iPhone
    @zsh2517 学到了,谢谢
    deplives
        12
    deplives  
       2025 年 8 月 20 日 via iPhone
    不是 你管这叫 xss 攻击????
    Y25tIGxpdmlk
        13
    Y25tIGxpdmlk  
       2025 年 8 月 20 日
    这也算??这明显是人家刻意这么设计的,让你跳转前知道要跳到哪里。

    国内站点基本要跳走不都有这种提醒吗?比如知乎啥的。这种你提交上去真的贻笑大方
    Y25tIGxpdmlk
        14
    Y25tIGxpdmlk  
       2025 年 8 月 20 日
    如果你想说因为他回显了?那你插点 js 试试,能被你绕过各种过滤让他回显执行了,那才叫牛批。应该能值几百刀。
    BigPiggggg
        15
    BigPiggggg  
       2025 年 8 月 20 日   ❤️ 1
    https://xss-game.appspot.com/
    remember5
        16
    remember5  
       2025 年 8 月 20 日
    @zsh2517 #9 学习到了,谢谢
    hefish
        17
    hefish  
       2025 年 8 月 20 日
    这个国内的安全厂商可以把这种标记为高危,然后给甲方爸爸写报告,说发现了高危漏洞,甲方爸爸这钱花的值。
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   Solana   ·   3314 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 11:28 · PVG 19:28 · LAX 03:28 · JFK 06:28
    ♥ Do have faith in what you're doing.