如何更改Google搜索中的自动提示？

由于Masato Kinugawa所发现的谷歌搜索的XSS漏洞，最近谷歌可以说是经历了很多。而在这篇简短的文章中，我将继续和你分享一个我在谷歌搜索引擎发现了一个有趣的地方。

上面的这张图片应该已经揭示了我想说的话，没错，我发现我能操纵谷歌搜索中某个字符串的的自动提示列表，当有人慢慢输入一个个字母进行查询时，就会看到我预设的内容。

而且，如果你想往自动提示中添加一个短语，唯一步骤就是访问URL https://www.google.com/search?q=phrase，就是这么简单。攻击者可以批量发出一些特制请求，在任何人都注意不到的情况下往自动提示中加入大量特制的短语。

实际作用？

经过研究，我发现了一些可以以这种方式影响他人的情况。

广告。某些公司可以通过塞入大量短语来使其他访问者的自动提示列表充斥着广告，当他们搜索特定项目时，某个公司的品牌甚至会在用户点击ENTER之前就显示。

网络钓鱼。攻击者可能会尝试将网络钓鱼网站放在自动提示列表的顶部，例如facebook⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀site:facehook.tk，这个facebook.tk明显是一个钓鱼网站。

干扰？攻击者并不一定要进行什么网络攻击，可能只想用数千个短语来淹没某人的自动提示列表，只是干扰他人正常使用谷歌。如果用户碰巧不知道一次性清除所有记录的方法，那么一次次的点击“删除”可能会令人崩溃。

尴尬？此外，攻击者可能是想让受害者感到尴尬。想象一下，受害者在大量观众面前演讲，并尝试搜索某些内容时，显示出非常不合适的结果。（我实在无法想象有比演讲更尴尬的场合)

安全

在我看来，这是一个可能影响很多用户的安全问题。然而，谷歌团队并不赞同这一观点，而且该报告已被关闭Won’t Fix (Intended behavior)。

其实，我并不是单独把这个当漏洞提上去，我的报告还有点击劫持谷歌reCAPTCHA的内容，谷歌的reCAPTCHA是许多其他攻击的中介，这些攻击也将很快出现在我的Twitter上。你可以在Twitter上关注我，以便及时了解更新@terjanq。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://medium.com/bugbountywriteup/how-i-am-able-to-hijack-you-1cab793a01d1