Goodnews.ua


Подросток заработал $10 000, обнаружив баг в Google App Engine

Август 16
10:08 2017

Подросток заработал $10 000, обнаружив баг в Google App Engine

17-летний школьник из Уругвая Эсекьель Перейра (Ezequiel Pereira) нашел баг в Google App Engine, позволявший просматривать внутренние документы Google, за что получил вознаграждение $10 000.

На досуге Перейра изучал Google App Engine в поисках багов и использовал Burp для изменения Host header. Целью исследователя были страницы, защищенные авторизацией через MOMA, то есть портал, доступный только сотрудникам Google, который действует как ÜberProxy.

Хотя в большинстве случаев подмена запроса приводила лишь к ошибке 404, в итоге исследователь обнаружил, что систему все-таки можно обмануть, подключившись к публичному сервису (к примеру,appspot.com) и подменив в HTTP-запросе Host header (к примеру, на yaqs.googleplex.com). Перейра заметил, что для доступа к системе управления проектами YAQS должна требоваться MOMA-авторизация, однако проверка юзернейма не производилась, и исследователь получил возможность просматривать информацию, предназначенную только для сотрудников и отмеченную грифом Google Confidential.

Исследователь немедленно сообщил о своей находке инженерам Google, а в начале августа Перейра узнал, что за обнаружение бага ему выдадут вознаграждение в размере $10 000. По словам исследователя, сумма его удивила, и он не ожидал получить так много за столь простой баг. Как пояснили представители Google, им удалось обнаружить несколько модификаций для этого эксплоита, позволявших получить доступ к различным конфиденциальным данным.

Источник: xakep.ru

Share

Статьи по теме







0 Комментариев

Хотите быть первым?

Еще никто не комментировал данный материал.

Написать комментарий

Комментировать

Залишаючи свій коментар, пам'ятайте, що зміст та тональність вашого повідомлення можуть зачіпати почуття реальних людей, що безпосередньо чи опосередковано пов'язані із цією новиною. Виявляйте повагу та толерантність до своїх співрозмовників. Користувачі, які систематично порушують це правило, будуть заблоковані.

Website Protected by Spam Master


Останні новини

Із бюджету Одеси на потреби військових додатково виділили 250 мільйонів

Читать всю статью

Ми у соцмережах




Наші партнёри

UA.TODAY - Украина Сегодня UA.TODAY
Goodnews.ua