10.6

10.md

@@ -227,3 +227,39 @@ Google XSS 漏洞
 > 始终留意这种漏洞。很轻易就能假设，仅仅由于公司太大或者太知名，任何东西都被找到了。但是，公司始终会修改代码。
 
 > 此外，有大量方法来执行 JavaScript，这里在看到 Google 使用`onmousedown`事件处理器修改值之后，很容易就放弃了。这意味着任何时候使用鼠标点击了链接，值都会改变。
+
+### 6\. Google Tagmanager 存储型 XSS
+
+难度：中
+
+URL：`tagmanager.google.com`
+
+报告链接：`https://blog.it-securityguard.com/bugbounty-the-5000-google-xss`
+
+报告日期：2014.10.31
+
+奖金：$5000
+
+描述：
+
+2014 年 10 月，Patrik Fehrehbach 在 Google 上发现了存储型 XSS 漏洞。这个报告的有趣部分是，他如何设法绕过 Google 获取载荷。
+
+Google Tagmanager 是一个 SEO 工具，使营销人员添加和更新站点标签变得容易 -- 包含转化追踪、站点分析、重营销、以及更多。为此，它拥有大量的表单，便于用户交互。所以，Patrik 以尝试将 XSS 载荷输入到表单字段中开始，类似于`#>imgsrc=/ onerror=alert(3)>`。如果接受了，这就会闭合现有的 HTML `>`，之后尝试加载不存在的图片，这会执行`onerror` JavaScript，`alert(3)`。
+
+但是，这没有效果。Google 合理处理了输入。Patrik 注意到了一个替代方案 -- Google 提供了上传带有多个标签的 JSON 文件的功能。所以，它下载了样例并上传：
+
+```json
+"data": { 
+    "name": "#"><img src=/ onerror=alert(3)>", 
+    "type": "AUTO_EVENT_VAR", 
+    "autoEventVarMacro": { 
+        "varType": "HISTORY_NEW_URL_FRAGMENT" 
+    } 
+}
+```
+
+这里，你会注意到，标签的名称就是他的 XSS 载荷。结果，Google 没有处理来自上传文件的输入，并执行了载荷。
+
+> 重要结论
+
+> 这里有两个有趣的事情。首先Patrik 发现了替代方案来提供输入 -- 要留意这个东西，并测试目标提供的所有方法来输入数据。其次，Google 处理了输入，但是在渲染时没有转义。假设它转义了 Patrik 的输入，载荷就不会生效，因为 HTML 会被转换成无害的字符。