[XSS] google

[kempactick]

Salut! am gasit azi 12 xss intr-un subdomeniu din google si cateva persistente...

#Exploit: *.google.com - Cross-Site-Scripting

#Author: kempactick

#Target: Google

#Status: Waiting for an response

#PoC: http://s16.postimg.org/awgzdt2ad/Untitled.jpg

http://s2.postimg.org/5m7tyu855/test.jpg

Voi face in curand un V.P.o.C cu toate xss-urile.

Edited August 27, 2013 by kempactick

[BLODAS666]

Hall of fame is yours...

[Silviu]

E bine mosule, o sa devii milionar

[SilenTx0]

12 xss-uri intr-o zi?Altii nu gaasesc atat in toata viata.Greu de crezut, asteptam V.P.o.C-ul

[dekeeu]

Fa-mi te rog o favoare si dai un alert(document.domain) .

Mersi.

[akkiliON]

OFF: Ce bine dorm cu ochii deschi?i !

Copy/Paste ! Thank you ( ?tii la ce m? refer )

ON: Nu cred a?a ceva. Sorry. Daca tot zici c? o s? faci un V.P.o.C, a?tept?m !

Edited August 26, 2013 by akkiliON

[SilenTx0]

Fa-mi te rog o favoare si dai un alert(document.domain) .

Mersi.

Asta as fi vrut si eu pentru ca nu prea cred.Mi-a spus florin ca l-a intrebat pe el daca este xss ala si cum sa il raporteze ceea ce ma face sa cred ca nu a gasit 12 xss-uri ci un xss si a folosit 12 vectori. Pare incepator

Le: Din cate vad eu, google e scris cu gri.In general subdomeniile sunt scrise cu gri.Cred ca ce ai gasit tu e xss intr-un site cu subdomeniu google.blablabla sau ceva de genu (daca exista asa ceva). Trebuia sa nu cenzurezi partea de dupa google.

Edited August 26, 2013 by SilenTx0

[dancezar]

Fa-mi te rog o favoare si dai un alert(document.domain) .

Mersi.

Dap da print la document.domain asa stim sigur daca este google si nu google.ceva.com

[Renegade]

si nici in stanga jos nu apare acel "Transfering data from.."daca gresesc corectati-ma

[puscarie]

mare fake.

[florin_darck]

Waiting for VPOC.

12 xss-uri in google .. nu stiu cata lume mai reuseste asta

[akkiliON]

Waiting for VPOC.

12 xss-uri in google .. nu stiu cata lume mai reuseste asta

E fake. Daca privesti mai atent google e subdomeniu ( are culoarea gri ) ! De obicei subdomeniul apare cu gri. Parerea mea este ca e fake acest xss.

[a1234]

Yes this is fake. You can tell the https: and google are the same colors.

With actual https it's lighter gray.

[Darkb0t]

play.google.com, and this is the page that contains xss

congrats, great find, hall of fame + money in the bank account XD

[FarSe]

12 xssuri in google? ce dracu ma, au facut romanii acel subdomain? vezi ca e si sqli!

[H3xoR]

De la 3 la 12? Bravo!

Edited August 27, 2013 by H3xoR

[kempactick]

http://s2.postimg.org/5m7tyu855/test.jpg , unul persistent

is not fake.

V.P.o.C(s): Soon!

thanks h3x

[poq]

Dar ce e dupa google?

[Gotyc]

de ce ai dat cautare pe rst?)

[kempactick]

@ poqu , pai ce sa fie ?

@gotyc, sa vad posturile de securitate.

[malsploit]

@kempactick daca or sa mai zica multi ca e fake, o sa fiu nevoit sa iti cer o dovada sau sa o prezinti tu unui administrator.

[SilenTx0]

Mda, nu sunt fake.Mi-a dat 2-3 xss-uri.Sunt in niste subdomenii pe care va lua (daca va lua) 100$.Si ca sa clarificam, google era scris cu gri pentru ca a cenzurat ce nu trebuie

[d33nis]

OFF: @kempactick,

Be the best, fuck the rest

Be the one, not anyone.

ON: Foarte frumos, asteptam V.P.o.C

[TheTime]

Hai sa ne intelegem, googleceva.com nu este subdomeniu al google.com, nu este acelasi lucru cu ceva.google.com.

Poate este vreun alt site ce apartine companiei Google unde nu poti face mai nimic cu un xss.

Diferente intre cele 2 cazuri sunt multe. Preferata mea, cu un xss intr-un subdomeniu inutil precum code.google.com poti face bypass la same origin policy pentru google.com sau alte subdomenii sensibile (doar in anumite cazuri, descoperiti voi care).

Deci, pana la urma, ce sa fie? Subdomeniu google.com sau un alt domeniu ce apartine companiei Google?

[SilenTx0]

Erau niste subdomenii ale unor site-uri ce apartin de google foarte vechi, i-au spus ca sunt izolate si ca blablabla si nu ia nimic pe ele:)