An interesting Google vulnerability that got me 3133.7 reward.
随机文章作者介绍了其发现的一个有趣的 Google 漏洞并因此漏洞获得了 3133.7 美元的奖励
这样的漏洞,说简单也简单,说复杂也复杂,就是前端 LoadBalance/Proxy 对浏览器的请求进行改写引发的安全隐患。
对于研发工程师来看,使用 X-HTTP-Method-Override
这样的方法来实现只支持 GET/POST
的浏览器来支持 REST 的系列 GET/POST/PUT/DELETE
等方法是再也正常不过的事情,但是在文中的这样的情况,就会造成 HTTPS Cookie 泄漏
漏洞看起来都很简单,但是却反映了漏洞猎手的综合素质和能力,发现漏洞或者有天生的安全直觉,但有漏洞并完整分析并利用,那是真心考验综合的素质