专家因发现谷歌内网漏洞赢5000美元奖励

奥地利研究员David Wind在谷歌内网系统登录页面中发现一个信息披露漏洞，并获得5,000美元的奖励。

这名安全研究员在谷歌内网MOMA的登录页面login.corp.google.com中发现，页面虽然简单但会在每次被访问时从static.corp.google.com中加载一个随机图像。从这域名中尝试获取信息失败后，Wind通过向URL添加一个随机字符串的方法生成一个404出错页面。

跟谷歌向用户显示的出错页面不同，Wind生成的这个页面中包含一个名为“通过SEEF调试跟踪重新运行查询”，它指向末尾是 “?deb=trace” 的同一个URL。这个调试页面包含多种信息，包括服务器名称和内部IP、X-FrontEnd (XFE) HTTP请求、服务策略和跟谷歌NoSQL大数据数据库服务Cloud Bigtable相关的信息。Wind指出，该页面禁止任何用户交互但并未发现值得“深入”系统的东西因此马上将其告知谷歌。

谷歌为此颁发奖励5,000美元，这是对于影响高度敏感应用程序的信息泄露问题的最高奖金。这个漏洞在1月19日告知谷歌，不久后谷歌推出一个短期修复方案，并告知Wind称永久修复方案发布于3月16日。

这次奖励跟其它漏洞奖励计划支付的奖金相比数量较大，不过以谷歌的标准来看还是很少，该公司为远程代码执行漏洞设置的奖励超过3万美元。截至目前谷歌自2010年设立漏洞能够奖励计划以来已支付900万美元，去年支付数额超过300万美元。2016年支付的最高奖励是10万美元。

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士www.codesafe.cn”。