Câu chuyện tình cờ tìm ra cách vượt qua kiểm tra domain của Google
(bugs.xdavidhu.me)Phát hiện regex dùng để kiểm tra nhằm ngăn chặn lời gọi từ các domain không nằm trong whitelist có lỗi.
Khi tên domain chứa / ? # \\, trình duyệt chỉ nhận diện đến phần đứng trước chúng.
Tuy nhiên, routine đó không kiểm tra \\, nên nếu mã được thực thi từ aaa.com\\google.com thì sẽ bị nhận là máy chủ của Google.
Sau khi báo cáo cho Google, phía Google phản hồi rằng bản thân bộ phân tích URI của Closure được dùng ở nhiều nơi nội bộ cũng có vấn đề, và họ đã vá nó.
Tác giả đã nhận được khoản thưởng lỗi trị giá 6.000 USD.
1 bình luận
Ban đầu là P4 nhưng rồi thành lỗi ở mức P1. Nhưng nếu là $6000 thì có vẻ tiền thưởng hơi ít..
https://www.google.com/about/appsecurity/reward-program/