示意圖,與新聞事件無關。

圖片來源: 

Google

一名烏拉圭的高中生Ezequiel Pereira因為無聊而發現了一個Google漏洞,在上周獲得Google頒發1萬美元(約30.5萬元新台幣)抓漏獎金

Pereira說,他是在今年7月11日時,因為感到無聊,於是便開始尋找Google漏洞。他利用專門用來測試網頁安全的Burp Suite工具來抓漏,方法是持續改變傳送給App Engine請求的主機標頭,以存取某些App Engine的內部應用。

由於這些內部應用通常需要憑證才能登入,因此Pereira的多數嘗試都是失敗的,不是出現404 Not Found就是被安全機制擋下,但最後卻讓他找到了一個沒有檢查使用者名稱,也未設立任何安全機制的yaqs.googleplex.com。

當Pereira造訪yaqs.googleplex.com時被導至另一個網頁,該網頁被標註為Google機密(Google Confidential),含有許多與Google服務或架構相關的連結。

Pereira並未選擇繼續深究,而是馬上向Google回報,幾小時後便收到Google的確認信件。當時Pereira以為這只是件小事,並沒將它放在心上,沒想到8月4日再度收到Google郵件,宣稱他獲得了1萬美元的抓漏獎金,他回信請Google確認獎項,Google則在本周三(8/9)回覆以證實此事,還說漏洞已經修補了。

目前還是高中生的Pereira說他未來的目標是成為一名安全研究人員。

熱門新聞

Advertisement