其他
专家因发现谷歌内网漏洞赢5000美元奖励
奥地利研究员David Wind在谷歌内网系统登录页面中发现一个信息披露漏洞,并获得5,000美元的奖励。
这名安全研究员在谷歌内网MOMA的登录页面login.corp.google.com中发现,页面虽然简单但会在每次被访问时从static.corp.google.com中加载一个随机图像。从这域名中尝试获取信息失败后,Wind通过向URL添加一个随机字符串的方法生成一个404出错页面。
跟谷歌向用户显示的出错页面不同,Wind生成的这个页面中包含一个名为“通过SEEF调试跟踪重新运行查询”,它指向末尾是 “?deb=trace” 的同一个URL。这个调试页面包含多种信息,包括服务器名称和内部IP、X-FrontEnd (XFE) HTTP请求、服务策略和跟谷歌NoSQL大数据数据库服务Cloud Bigtable相关的信息。Wind指出,该页面禁止任何用户交互但并未发现值得“深入”系统的东西因此马上将其告知谷歌。
谷歌为此颁发奖励5,000美元,这是对于影响高度敏感应用程序的信息泄露问题的最高奖金。这个漏洞在1月19日告知谷歌,不久后谷歌推出一个短期修复方案,并告知Wind称永久修复方案发布于3月16日。
这次奖励跟其它漏洞奖励计划支付的奖金相比数量较大,不过以谷歌的标准来看还是很少,该公司为远程代码执行漏洞设置的奖励超过3万美元。截至目前谷歌自2010年设立漏洞能够奖励计划以来已支付900万美元,去年支付数额超过300万美元。2016年支付的最高奖励是10万美元。
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。