Decoding Google: Converting a Black Box to a White Box 文章介绍了如何逆向分析Google的API和端点，包括发现隐藏的API端点、参数和安全漏洞。通过分析Google API的身份验证机制、使用API密钥、bearer token和X-Goog-Spatula头等方式获取敏感信息。还提到通过错误消息泄露请求参数类型，并利用工具自动化提取ProtoBuf定义。... 2025-7-1 10:19:16 | 阅读: 20 | 收藏 | Over Security - Cybersecurity news aggregator - brutecat.com googleapis ninvalid youtube client

Leaking the email of any YouTube user for $10,000 文章描述了Google的一个安全漏洞：通过YouTube直播聊天功能可泄露用户的Gaia ID，并结合Pixel Recorder工具将其转换为电子邮件地址。攻击者可利用此漏洞获取用户隐私信息，尽管存在触发通知的风险，但通过修改录音标题长度可规避。该漏洞已报告并修复，作者因此获得奖励。... 2025-7-1 10:19:15 | 阅读: 22 | 收藏 | Over Security - Cybersecurity news aggregator - brutecat.com recording gaia youtube recorder protobuf

Bruteforcing the phone number of any Google user 文章描述了一种针对Google账户用户名恢复功能的安全漏洞。攻击者通过禁用JavaScript并利用HTTP请求绕过速率限制和BotGuard保护，结合Looker Studio泄露的显示名称和忘记密码流程中的电话提示信息进行暴力破解。该漏洞已被报告并修复。... 2025-7-1 10:19:12 | 阅读: 13 | 收藏 | Over Security - Cybersecurity news aggregator - brutecat.com victim digits botguard subnet

通过YouTube API漏洞泄露创作者邮箱的2万美元赏金 文章描述了通过Google API请求中的错误参数类型泄露请求参数的方法，并展示了如何利用ProtoJson格式绕过参数名称限制以获取完整请求载荷。作者开发了工具req2proto自动化此过程，并发现隐藏的includeSuspended参数可用于泄露频道内容所有者ID和冲突通知邮件地址。最终通过YouTube内容ID API获取敏感数据。... 2025-3-14 05:44:59 | 阅读: 19 | 收藏 | 玄武实验室每日安全 - brutecat.com youtube ninvalid googleapis