高中生发现谷歌后端服务漏洞:获得1万美元奖励
这个世界上,不仅仅存在着通过各种手段的找到别人的漏洞并进行攻击,从而谋取利益的黑客,当然,也不缺通过各种方法找到漏洞并提交给厂商获得收益的白帽儿。
日前,一位乌拉圭的高中学生在谷歌服务中发现了一个漏洞,该漏洞可以欺骗谷歌的后端服务器,从而授予攻击者访问公司机密数据的权限,谷歌方面对这一漏洞确认并加以解决后,奖励其10000美元的奖金以资鼓励!
由此可见,通过找到谷歌漏洞并对其进行攻击能获得收益,直接找到谷歌的漏洞并提交给官方同样也能获得非常丰厚的奖励!
安全研究人员发现,使用目前流行的漏洞扫描程序Burp Suite对主机头进行修改后,可以准确的输入一些内部的App Engine应用程序,这位乌拉圭的高中生就因此发现了Google后端服务上的网站安全措施没有进行正确的配置,他以此可以直接连接登录到Google的网站yaqs.googleplex.com上去,而这一过程并不需要他输入自己的帐号和密码。
当其进入谷歌的这样网站后,首页会将其重定向到一个页面上,该页面中含有很多链接可以随意连接到Google服务和基础设施,同时,他说使用的浏览器还能够阅读到Google的机密数据。
这位高中学生在发现了漏洞后,决定立即向谷歌报告相关问题,他在7月11号这一天向谷歌报告了发现的漏洞错误,并及时得到了Google公司的回复,同时,Google公司内部也通知了安全小组对这一漏洞的严重性进行了评估!
时间到了8月4号这天,这位高中生收到了谷歌的10000美元赏金,尽管谷歌方面并没有告知其进入的网站都包含了哪些信息,但谷歌的网络安全团队表示,他发现Google严重BUG的这一努力得到了丰厚的回报,安全研究人员在其中发现了一些能够使得Google的一些敏感数据处于风险同一漏洞的变体。
不过,对于是否能够通过寻找漏洞并获取一些回报的问题,在去年8月份举行的第四届中国互联网安全大会上,杀软公司McAfee的创始人John David McAfee接受采访时发表了自己的看法,他认为白帽子通过发现安全系统的漏洞进行报酬索取的这一做法是一种不正确的态度!
其实是这些厂商的责任,但他们因为各种各样的原因并未真正履行好这一责任,如果白帽子没有及时的发现漏洞,恐怕损失会更严重。
这东西就跟在公交车上给别人让座位是一个道理,没有谁一定要给他人让座,不让是本分,而让了就是情分,然而,很多人在接受了别人的座位后便欣然的坐下了,一声谢谢都没有,简直就是没皮没脸!
同样的,在发现漏洞的问题上,白帽子发现漏洞并向厂商报告也是情分,如果他对漏洞加以利用那是违法行为但在不被人发现之前或许他能够谋取更多的利益,然而他并没有这么做,因此,笔者认为,通过发现安全系统的漏洞进行报酬索取的这一做法是非常必要的!