Récit d’une découverte fortuite d’une méthode de contournement de la vérification de domaines de Google
(bugs.xdavidhu.me)Découverte d’une erreur dans l’expression régulière utilisée pour empêcher les appels depuis des domaines non whitelistés
Lorsque le nom de domaine contient / ? # \\, le navigateur ne reconnaît que la partie située avant ces caractères,
mais cette routine ne vérifiait pas \\, si bien que si le code s’exécutait depuis aaa.com\\google.com, il était reconnu comme provenant d’un serveur Google
Après signalement à Google, il a été répondu qu’il y avait en réalité un problème dans le parseur d’URI de Closure utilisé un peu partout en interne chez Google, et qu’un correctif avait été appliqué
L’auteur a reçu une prime de bug bounty de 6000 $
1 commentaires
C’était un P4, puis c’est devenu un bug de niveau P1. Mais bon, 60 $ donnent l’impression que la prime est plutôt faible..
https://www.google.com/about/appsecurity/reward-program/