谷歌(Google)向一名高中生支付了1万美元,原因是谷歌的AppEngine服务器中发现了一个可能导致信息泄露的漏洞。
本周,埃齐格尔·佩雷拉在一篇博文中说,他在7月11日的一篇博文中说,仅仅是因为无聊,在几次失败的尝试之后,他无意中发现了一种无需认证就在请求中更改App Engine服务器的主机头的方法。
他试图更改标题的大部分尝试--为了访问内部应用程序,比如*.googleplex.com--通常需要通过GoogleMOMA登录页面进行身份验证--失败了,并返回了404,没有发现错误或安全障碍。
然而,在使用了安全测试套件Burp之后,这位学生偶然发现了一个允许未经身份验证访问的网站,即yaqs.googleplex.com。
该网络服务器没有检查佩雷拉的凭证,并将他转到“/Eng”,这反过来又暴露了谷歌服务和基础设施不同部分的链接,其中包括一个名为“谷歌机密”(Google Confidential)的脚注中的注释。
这足以证明,而不是更进一步,学生然后用概念验证(POC)证据来"立即报告问题"。
发送给Google的PoC基于Burp套件如下:
几个小时后,谷歌的安全小组做出了回应。
"我想我自己"很酷,这可能是一个不值得一毛钱的小事,网站可能有一些关于谷歌服务器的技术资料,没有什么真正重要的东西,"学生评论了。"我不知道网站上包含的是什么,但几周后,我在离开学校后收到了一封邮件,说我的报告值得一毛钱。”
几周后,谷歌的团队对这个问题进行了分类并修复了这个问题。实际上,这个问题价值1万美元,因为该小组设法找到了问题的变体,可以让攻击者根据佩雷拉的报告访问敏感数据。
有时,这样的漏洞仍然可以被发现,但总的来说,谷歌已经通过这家科技巨头的漏洞赏金计划增加了对高级别漏洞的支付。远程代码执行(RCE)现在可以获得超过3万美元的研究人员每个报告,因为他们变得越来越稀缺和难以找到。