Исследователь получил $5000 за обнаружение бага в интранете Google

МЕНЮ

Главная страница
Поиск
Регистрация на сайте
Помощь проекту
Архив новостей

ТЕМЫ

Новости ИИ

Голосовой помощник
Городские сумасшедшие
ИИ в медицине
ИИ проекты
Искусственные нейросети
Искусственный интеллект
Слежка за людьми
Угроза ИИ

Разработка ИИ

Атаки на ИИ
ИИ теория
Компьютерные науки
Машинное обуч. (Ошибки)
Машинное обучение
Машинный перевод
Нейронные сети начинающим
Психология ИИ
Реализация ИИ
Реализация нейросетей
Создание беспилотных авто
Трезво про ИИ
Философия ИИ

Внедрение ИИ

Big data
Генетические алгоритмы
Капсульные нейросети
Основы нейронных сетей
Промпты. Генеративные запросы
Распознавание лиц
Распознавание образов
Распознавание речи
Творчество ИИ
Техническое зрение
Чат-боты

Работа разума и сознание

Изучение сна
Изучение сознания
Нейроинтерфейс
Психология
Работа мозга
Работа памяти
Работа разума

Модель мозга

Модель мозга

Робототехника, БПЛА

Беспилотные автомобили
БПЛА
Робототехника

Трансгуманизм

Трансгуманизм

Обработка текста

Анализ социальных сетей
Компьютерная лингвистика
Лингвистика
Поисковые алгоритмы

Теория эволюции

Головной мозг
Нейронные сети
Поведение животных
Теория эволюции

Дополненная реальность

Виртулаьная реальность
Дополненная реальность

Железо

Интернет вещей
Квантовый компьютер
Нейронные процессоры
облачные вычисления
Суперкомпьютеры

Киберугрозы

Кибербезопасность

Научный мир

Методы исследования
Наука и образование
Семинары

ИТ индустрия

ИТ-гиганты
Новости ит

Разработка ПО

Разработка ПО
Теория алгоритмов

Теория информации

Кластеризация

Математика

Актуальная математика
Статистика
Теория вероятности
Теория информации
Теория хаоса

Цифровая экономика

Технология блокчейн
Цифровая экономика

Авторизация

RSS

RSS новости

2017-05-20 08:00

кибербезопасность

Независимый австрийский исследователь Дэвид Винд (David Wind) получил вознаграждение в размере $5000 за обнаружение уязвимости на странице логина интранета Google.

В своем блоге исследователь рассказывает, что он изучал различные сайты и сервисы Google, в поисках ошибок, которые могли бы помочь ему заработать на официальной bug bounty программе компании. Так Винд обнаружил страницу login.corp.google.com, которая позволяет авторизоваться в интранете поискового гиганта, который носит название MOMA.

Сама по себе страница логина проста, но специалист заметил, что каждый раз во время загрузки она подгружает случайное изображение с адреса static.corp.google.com. После ряда безуспешных попыток добиться чего-нибудь от этого домена, Винд сумел получить ошибку 404, подставляя случайные символы в URL.

В отличие от других страниц ошибок, которые Google демонстрирует пользователям, эта страница содержала ссылку, озаглавленную «Re-run query with SFFE debug trace», которая указывала но тот же URL, но с ?deb=trace на конце.

На странице отладки исследователь обнаружил множество интересной информации, включая имя сервера и внутренний IP-адрес, X-FrontEnd (XFE) HTTP-запросы, а также данные, связанные с работой Cloud Bigtable, NoSQL сервиса для работы с big data.

И хотя страница не позволяла пользователю как-либо взаимодействовать с ней, и Винд не нашел других багов, позволяющих проникнуть глубже, он все равно сообщил разработчикам Google о найденной ошибке. Баг почти сразу был устранен временным патчем, еще в январе 2017 года, а в середине марта 2017 года разработчики представили полноценное исправление.

В итоге исследователь получил от Google $5000, и это максимальное вознаграждение, которое полагается за ошибки, связанные с утечками данных (information leaks). Хотя в сравнении с другими выплатами, которые предлагает Google, $5000 – это совсем немного (к примеру, за RCE-баги Google выплачивает более $30 000), это очень значительная выплата за небольшой баг, раскрывающий данные.

Телеграм: t.me/ainewsline

Источник: xakep.ru



		Исследователь получил $5000 за обнаружение бага в интранете Google
МЕНЮ Главная страница Поиск Регистрация на сайте Помощь проекту Архив новостей ТЕМЫ Новости ИИ Голосовой помощник Городские сумасшедшие ИИ в медицине ИИ проекты Искусственные нейросети Искусственный интеллект Слежка за людьми Угроза ИИ Разработка ИИ Атаки на ИИ ИИ теория Компьютерные науки Машинное обуч. (Ошибки) Машинное обучение Машинный перевод Нейронные сети начинающим Психология ИИ Реализация ИИ Реализация нейросетей Создание беспилотных авто Трезво про ИИ Философия ИИ Внедрение ИИ Big data Генетические алгоритмы Капсульные нейросети Основы нейронных сетей Промпты. Генеративные запросы Распознавание лиц Распознавание образов Распознавание речи Творчество ИИ Техническое зрение Чат-боты Работа разума и сознание Изучение сна Изучение сознания Нейроинтерфейс Психология Работа мозга Работа памяти Работа разума Модель мозга Модель мозга Робототехника, БПЛА Беспилотные автомобили БПЛА Робототехника Трансгуманизм Трансгуманизм Обработка текста Анализ социальных сетей Компьютерная лингвистика Лингвистика Поисковые алгоритмы Теория эволюции Головной мозг Нейронные сети Поведение животных Теория эволюции Дополненная реальность Виртулаьная реальность Дополненная реальность Железо Интернет вещей Квантовый компьютер Нейронные процессоры облачные вычисления Суперкомпьютеры Киберугрозы Кибербезопасность Научный мир Методы исследования Наука и образование Семинары ИТ индустрия ИТ-гиганты Новости ит Разработка ПО Разработка ПО Теория алгоритмов Теория информации Кластеризация Математика Актуальная математика Статистика Теория вероятности Теория информации Теория хаоса Цифровая экономика Технология блокчейн Цифровая экономика Авторизация RSS RSS новости		2017-05-20 08:00 кибербезопасность Независимый австрийский исследователь Дэвид Винд (David Wind) получил вознаграждение в размере $5000 за обнаружение уязвимости на странице логина интранета Google. В своем блоге исследователь рассказывает, что он изучал различные сайты и сервисы Google, в поисках ошибок, которые могли бы помочь ему заработать на официальной bug bounty программе компании. Так Винд обнаружил страницу login.corp.google.com, которая позволяет авторизоваться в интранете поискового гиганта, который носит название MOMA. Сама по себе страница логина проста, но специалист заметил, что каждый раз во время загрузки она подгружает случайное изображение с адреса static.corp.google.com. После ряда безуспешных попыток добиться чего-нибудь от этого домена, Винд сумел получить ошибку 404, подставляя случайные символы в URL. В отличие от других страниц ошибок, которые Google демонстрирует пользователям, эта страница содержала ссылку, озаглавленную «Re-run query with SFFE debug trace», которая указывала но тот же URL, но с ?deb=trace на конце. На странице отладки исследователь обнаружил множество интересной информации, включая имя сервера и внутренний IP-адрес, X-FrontEnd (XFE) HTTP-запросы, а также данные, связанные с работой Cloud Bigtable, NoSQL сервиса для работы с big data. И хотя страница не позволяла пользователю как-либо взаимодействовать с ней, и Винд не нашел других багов, позволяющих проникнуть глубже, он все равно сообщил разработчикам Google о найденной ошибке. Баг почти сразу был устранен временным патчем, еще в январе 2017 года, а в середине марта 2017 года разработчики представили полноценное исправление. В итоге исследователь получил от Google $5000, и это максимальное вознаграждение, которое полагается за ошибки, связанные с утечками данных (information leaks). Хотя в сравнении с другими выплатами, которые предлагает Google, $5000 – это совсем немного (к примеру, за RCE-баги Google выплачивает более $30 000), это очень значительная выплата за небольшой баг, раскрывающий данные. Телеграм: t.me/ainewsline Источник: xakep.ru Комментарии:

Исследователь получил $5000 за обнаружение бага в интранете Google

Комментарии: