Google搜索的DOM型XSS漏洞

近期，白帽汇安全研究院在外网上发现了一个名为LiveOverflow的YouTube频道发布了一段短视频，描述了一个由推特用户Masato Kinugawa找到的一个谷歌搜索引擎的DOM型XSS，漏洞发现者通过对谷歌浏览器代码解析机制的研究，发现了一种通过点击触发的DOM型XSS。谷歌在收到这个信息后以超快的速度修复了这一XSS漏洞。

视频网址：https://www.youtube.com/watch?v=lG7U3fuNw3A

漏洞触发

1.输入下图中的恶意url，回车进入页面

2.此刻，在上图中红色方框的右边空白处点击一下

漏洞原理

视频作者以div和template标签作为例子，讲解了其中原理。

一般来说，往div标签中插入XSS能正常执行。

而template标签中的XSS无反应。

但是，如果我们先往template标签插入漏洞发现者特制的payload（此时无任何反应），再把内容传递给div标签，payload就会正常执行。

注意，下图显示已发出了图片请求，也就是payload被触发。

其中，我们可以看到，template标签里的内容由于浏览器的智能解析，发生了如下图片中的转变，最终产生弹框。

现在，我们看看谷歌内部代码的处理流程，正是先把用户的输入先放到tempalet标签进行安全过滤（例如删除恶意字符串），再把内容传递出去。由于浏览器的解析问题，template标签里的内容是无害的，不会被谷歌的安全机制删除字符，但一旦转移到其他标签，就能形成XSS漏洞。

此次漏洞解读由于能力问题尚有不足，如发现问题，欢迎随时联系讨论！

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.youtube.com/watch?v=HcrQy0C-hEA
     https://twitter.com/kinugawamasato