作者在最近參與的一些漏洞衆測項目中，着重關注了跨站搜索攻擊漏洞（Cross-Site Search Attacks），也可稱之爲XS-Search，最終發現了谷歌圖書服務 - books.google.com存在的跨站搜索攻擊漏洞，獲得了谷歌獎勵的$1337美金。

漏洞發現

發現該漏洞的靈感起源於35c3CTF比賽中一道針對搭建環境的，其中提到，利用 Chromium XSS Auditor 和XS-Search攻擊，可以提取獲得目標用戶的閱讀記錄和個人藏書列表。

在檢查Google Books的網站頁面時，我發現了其源碼存在一些有意思的差異變化，其中一個就是，當圖書搜索查詢導致了至少只有一本書的搜索結果時，其會在頁面源碼中添加一段特定的Java腳本代碼，該代碼從以下部份開始：