發現Google內網漏洞 拿到5000美元

研究人員從谷歌手中賺到5000美元獎金，因為在這家科技巨頭的內網系統登錄頁面發現了一個信息泄露漏洞。

與谷歌呈現給用戶的其他錯誤頁面顯示的不同，這個頁面包含有一個名為「以SFFE調試跟蹤重新查詢」的鏈接，該鏈接指向原URL，只不過，後面跟了個「?deb=trace」。

該調試頁面包含多種信息，有伺服器名稱和內部IP、X-FrontEnd(XFE) HTTP 請求、服務策略，以及谷歌的NoSQL大數據資料庫服務 Cloud Bigtable 相關信息。

溫德在他的博客中說：「該頁面不允許任何用戶互動，我沒找到可以進一步深入系統的東西，所以我馬上就報告了。」

谷歌為他的發現支付了5000美元——影響高敏感應用的信息泄露最高獎金。

該漏洞在1月19日被報告給谷歌，幾天後就實現了短期修復解決方案。谷歌告訴溫德，永久修復在3月16日推出。

5000美元的獎勵，相比其他漏洞獎勵的額度來說已經很高了，但按谷歌的標準還不值一提，谷歌給遠程代碼執行漏洞開出的獎金高達3萬美元。

2010年設立漏洞獎勵項目以來，谷歌共計支出900萬美元的漏洞獎勵，僅去年就是300多萬美元。最大單筆獎金在2016年開出——10萬美元。

網友評論：

猜想：拿到學校門戶網站漏洞，估計會拿到多少RMB？

本文編號2394，以後想閱讀這篇文章直接輸入2394即可。

輸入m獲取文章目錄

推薦

黑客技術與網路安全

更多推薦《愛學習的程序猿必看的18個技術類微信公眾號》

涵蓋：程序人生、演算法與數據結構、黑客技術與網路安全、大數據技術、前端開發、Java、Python、Web開發、安卓開發、iOS開發、C/C++、.NET、Linux、資料庫、運維等。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！