# 우연히 구글 도메인 체크 우회방법을 찾은 이야기

> Clean Markdown view of GeekNews topic #1690. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=1690](https://news.hada.io/topic?id=1690)
- GeekNews Markdown: [https://news.hada.io/topic/1690.md](https://news.hada.io/topic/1690.md)
- Type: news
- Author: [xguru](https://news.hada.io/@xguru)
- Published: 2020-03-11T10:33:33+09:00
- Updated: 2020-03-11T10:33:33+09:00
- Original source: [bugs.xdavidhu.me](https://bugs.xdavidhu.me/google/2020/03/08/the-unexpected-google-wide-domain-check-bypass/)
- Points: 4
- Comments: 1

## Topic Body

화이트리스트 되지 않은 도메인에서 호출을 방지하기 위해 체크하는 정규식이 오류가 있음을 발견

도메인 이름에 / ? # \ 이 들어간 경우 브라우저는 그 앞 까지만 인식하지만,

해당 루틴은 \ 은 체크 하지 않아서 aaa.com\google.com 에서 코드가 실행될경우 구글 서버라고 인식하게 된다고

구글에 제보후, 구글 내부 곳곳에서 사용하는 클로저 URI 파서 자체에 문제가 있었고 그거를 패치했다고 회신

작성자는 $6000 의 버그 포상금을 수령

## Comments



### Comment 1329

- Author: xguru
- Created: 2020-03-11T10:34:09+09:00
- Points: 1

P4였다가 P1 수준의 버그가 되었네요. 근데 $6000 이면 포상금이 작아 보이는데..

https://www.google.com/about/appsecurity/reward-program/