现在只对常读和星标的公众号才展示大图推送，建议大家把潇湘信安“设为星标”，否则可能看不到了！

大家好，我是Sokol Çavdarbasha，来自科索沃，今年 20 岁，欢迎阅读我在 Google 图书上发现的第一个关于漏洞的故事。现在我们已经完成了这些，我们可以了解本文的真正内容了。

有一天，我决定在Google上寻找漏洞，我正在寻找XSS跨站脚本。所以我开始深入研究google.com，并且专注于Google图书。

所以我想为什么不在这里尝试XSS，我在搜索栏中输入以下有效负载“><img src=x onerror=alert(1)>，然后我得到了一本书，另一位安全研究人员将其上传到 https: //play.google.com

所以我按下“Preview”按钮，XSS被触发

• https://bughunters.google.com
  

我很高兴收到Google VRP团队的“Nice catch”回复，优先级为P1，严重性为S1，并获得了XXXX美元奖励，因为这是我向Google报告的第一个有效错误。

概念验证：

 还在等什么？赶紧点击下方名片开始学习吧！

推 荐 阅 读