Google Cloud、DevSite和Google Play中的一对漏洞可能允许攻击者实现跨站点脚本(XSS)攻击，从而为帐户劫持打开了大门。第一个漏洞是Google DevSite中反映的XSS漏洞。攻击者控制的链接可以在源http://cloud.google.com和 http://developers.google.com上运行JavaScript，这意味着恶意行为者可以绕过同源策略读取和修改其内容。发现这两个漏洞的研究人员'NDevTK'写道：“由于<devsite-language-selector>的服务器端实现中存在漏洞， URL的一部分被反映为html，因此可以使用404页面中的那个组件。”

第二个漏洞是Google Play上基于DOM的XSS 。基于DOM的XSS漏洞通常出现在JavaScript从攻击者可控制的源（例如 URL）获取数据并将其传递到支持动态代码执行的接收器（例如eval()或innerHTML）时。

这使攻击者能够执行恶意JavaScript，这通常允许他们劫持其他用户的帐户。

研究人员说，他们“认为不会在不使用攻击者提供的URL的情况下将相同的服务器响应”发送给其他用户。

他们写道：“当搜索导致错误时，在[the]Google Play控制台的搜索页面上运行易受攻击的代码。

“得到一个错误就像做/?search=&一样简单，因为window.location包含从不编码的哈希'，所以可以转义href上下文并设置其他html属性。与DevSite XSS不同，这被CSP阻止，但小组仍然给予更多奖励。”

研究人员从DevSite问题中获得了3133.70美元，从Google Play中的漏洞中获得了5000美元。