Исследователь получил $5000 за обнаружение бага в интранете Google

0 16


Независимый австрийский исследователь Дэвид Винд (David Wind) получил вознаграждение в размере $5000 за обнаружение уязвимости на странице логина интранета Google.

В своем блоге исследователь рассказывает, что он изучал различные сайты и сервисы Google, в поисках ошибок, которые могли бы помочь ему заработать на официальной bug bounty программе компании. Так Винд обнаружил страницу login.corp.google.com, которая позволяет авторизоваться в интранете поискового гиганта, который носит название MOMA.

Сама по себе страница логина проста, но специалист заметил, что каждый раз во время загрузки она подгружает случайное изображение с адреса static.corp.google.com. После ряда безуспешных попыток добиться чего-нибудь от этого домена, Винд сумел получить ошибку 404, подставляя случайные символы в URL.

В отличие от других страниц ошибок, которые Google демонстрирует пользователям, эта страница содержала ссылку, озаглавленную «Re-run query with SFFE debug trace», которая указывала но тот же URL, но с ?deb=trace на конце.

На странице отладки исследователь обнаружил множество интересной информации, включая имя сервера и внутренний IP-адрес, X-FrontEnd (XFE) HTTP-запросы, а также данные, связанные с работой Cloud Bigtable, NoSQL сервиса для работы с big data.

И хотя страница не позволяла пользователю как-либо взаимодействовать с ней, и Винд не нашел других багов, позволяющих проникнуть глубже, он все равно сообщил разработчикам Google о найденной ошибке. Баг почти сразу был устранен временным патчем, еще в январе 2017 года, а в середине марта 2017 года разработчики представили полноценное исправление.

В итоге исследователь получил от Google $5000, и это максимальное вознаграждение, которое полагается за ошибки, связанные с утечками данных (information leaks). Хотя в сравнении с другими выплатами, которые предлагает Google, $5000 – это совсем немного (к примеру, за RCE-баги Google выплачивает более $30 000), это очень значительная выплата за небольшой баг, раскрывающий данные.



Source link

You might also like More from author

Comments

Loading...