当前位置: 首页 > article >正文

【网络安全 | 漏洞挖掘】价值3133美元的Google IDOR

article 2025/3/13 13:02:22

未经许可,不得转载。

文章目录

    • 正文

正文

目标URL:REDACTED.google.com

为了深入了解其功能,我查阅了 developer.google.com 上的相关文档,并开始进行测试。

在测试过程中,我发现了一个 XSS 漏洞,但它触发的域名是经过正确沙盒化的 *.googleusercontent.com,这符合 Google 的安全策略,因此不被视为有效漏洞。

接着,我偶然发现了一个功能,该功能允许用户从 Google Drive 导入文件,并且能够正常工作。当我使用 Burp Suite 拦截该请求时,我注意到请求中使用了 docId 作为参数,用于标识用户选择的 Google Drive 文件 ID:

在这里插入图片描述

我注意到 docId 出现在 Google Drive 文件的 URL 中,大致如下:

https://drive.google.com/open?id=18TrU

http://www.kler.cn/a/545297.html

相关文章:

  • VS Code 通知中一直显示“Reactivating terminals...”的问题解决
  • 解决 paddle ocr 遇到 CXXABI_1.3.13 not found 的问题
  • JAVA DDD设计模式:用策略模式干掉满屏if-else
  • 吉祥汽车泰国首发,用 Unity 实现行业首创全 3D 座舱虚拟世界
  • 【深度学习】计算机视觉(CV)-目标检测-SSD(Single Shot MultiBox Detector)—— 单次检测多框检测器
  • 了解卷积神经网络(Convolutional Neural Network,CNN)
  • React组件重新渲染机制
  • App UI自动化--Appium学习--第二篇
  • 【Elasticsearch】标准化器(Normalizers)
  • Excel文件的读取
  • 【工业场景】用YOLOv8实现火灾识别
  • Windows软件自动化利器:pywinauto python
  • python 大数据的优势
  • vscode插件Remote - SSH使用教程
  • postman登录cookie设置
  • 什么是HTTP Error 429以及如何修复
  • 19.4.9 数据库方式操作Excel
  • 2025 年 1 月区块链游戏研报:市场指标下滑,平台竞争加剧
  • 简单了解低代码Low Code
  • 最新消息 | 德思特荣获中国创新创业大赛暨广州科技创新创业大赛三等奖!