a3171244993的博客

原创 2020-06-24

这篇Writeup介绍了谷歌数据报表平台Google Data Studio中的一个授权漏洞，我利用该漏洞可以修改其他人分享的报告链接，实现对他人报告的劫持。漏洞介绍Google Data Studio是谷歌的可视化报告处理平台，要发现授权漏洞需要了解目标应用的具体工作机制，为此我花了一些时间去熟悉Google Data Studio。首先，我创建了一份空白报告，点击报告中的“共享”（Share）按钮右边的向下小箭头，会跳出一些功能选项，我们点击图中红框中的“获取报告链接”按钮，就能生成一个报告链接。该报