文章总结： 本文详细介绍了一系列针对Google服务的点击劫持漏洞案例。攻击者利用这些漏洞，可以在用户不知情的情况下，诱导其执行支付、订阅服务、更改账户设置或泄露隐私等操作。具体攻击场景包括通过嵌入GooglePlay订阅页面、Google支付页面、Google云端硬盘视频选择器（Picker）以及GoogleSites的设置或错误页面来实施攻击，甚至可以劫持未公开的YouTube视频进行传播，从而造成经济损失或隐私泄露的风险。 综合评分： 85 文章分类： WEB安全,渗透测试,漏洞分析,威胁情报,恶意软件

价值10w的Google点击劫持漏洞

原创

玲珑安全 玲珑安全

玲珑安全

2025年3月16日 11:28 福建

关注公众号，阅读优质好文。

点击劫持

点击劫持是一种恶意的用户界面攻击技术，也被称为 “UI 覆盖攻击” 或 “透明劫持”。

攻击者通过创建一个看似正常的网页，并在其中嵌入一个隐藏的、透明的 iframe 框架，该框架指向目标网站的某个功能页面，如支付页面、订阅页面等。同时，攻击者会在 iframe 上方放置一些虚假的按钮或链接，诱导用户点击。当用户点击这些虚假元素时，实际上是在不知情的情况下点击了下方 iframe 中的真实按钮或链接，从而执行了攻击者期望的操作，如进行支付、订阅服务、修改账户信息等。

前言

相比于跨站脚本（XSS）、远程代码执行（RCE）、SQL 注入（SQLi）等漏洞，我决定在 Google 和 Facebook 中寻找点击劫持（Clickjacking）漏洞。点击劫持通常是漏洞赏金计划中报酬最低的漏洞之一，很多企业甚至将其排除在漏洞范围之外，并低估了其危害。

漏洞1

1、存在一个网址：

https://play.google.com/store/epurchase?dp=null&hl=en&docId=subs:com.google.android.apps.docs:r1.100gb&usegapi=1&id=I2_1505755312332&parent=https://www.google.com

2、当将该网址添加至