烏拉圭的高中生因為無聊、測試網頁安全的Burp Suite工具來抓漏,意外發現Google漏洞,賺到1萬美元抓漏獎金

烏拉圭高中生意外發現Google漏洞,賺到1萬美元抓漏獎金

一名烏拉圭的高中生Ezequiel Pereira因為無聊而發現了一個Google漏洞,在上周獲得Google頒發1萬美元(約30.5萬元新台幣)抓漏獎金。

Pereira說,他是在今年7月11日時,因為感到無聊,於是便開始尋找Google漏洞。他利用專門用來測試網頁安全的Burp Suite工具來抓漏,方法是持續改變傳送給App Engine請求的主機標頭,以存取某些App Engine的內部應用。

由於這些內部應用通常需要憑證才能登入,因此Pereira的多數嘗試都是失敗的,不是出現404 Not Found就是被安全機制擋下,但最後卻讓他找到了一個沒有檢查使用者名稱,也未設立任何安全機制的yaqs.googleplex.com。

當Pereira造訪yaqs.googleplex.com時被導至另一個網頁,該網頁被標註為Google機密(Google Confidential),含有許多與Google服務或架構相關的連結。

Pereira並未選擇繼續深究,而是馬上向Google回報,幾小時後便收到Google的確認信件。當時Pereira以為這只是件小事,並沒將它放在心上,沒想到8月4日再度收到Google郵件,宣稱他獲得了1萬美元的抓漏獎金,他回信請Google確認獎項,Google則在本周三(8/9)回覆以證實此事,還說漏洞已經修補了。

目前還是高中生的Pereira說他未來的目標是成為一名安全研究人員。


獲得Google頒發1萬美元(約30.5萬元新台幣)抓漏獎金?think某中國青年如果覺得「無聊」也用「網頁安全的Burp Suite工具」去找看看Google、Facebook的漏洞,說不定一樣可以賺到「1萬美元」這樣就有$$可以直接買頂級旗艦的Nikon D5或是Canon EOS-1D X Mark II!covermouth

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏