一名年仅18岁的大学生因为揭露了Google App Engine重大的远端代码执行(remote code engine,RCE)漏洞,而获得Google颁发$36,337美元的奖金。
Google App Engine(GAE)是Google云端代管运行及开发客户web app的平台。这名现在就读乌拉圭民主本科的学生Ezequiel Pereira今年2月使用GAE时准备上传其开发的app时,无意间成功登入GAE测试用的部署环境,发现该平台针其特定呼叫回传的讯息暴露了内部的API。之后经过几次测试,他已能对代管于其上的app执行一般外部使用者无法执行的行为。
他于是经过Google的漏洞奖励方案回报,Google随后回应认为该漏洞为RCE漏洞,重要性列为P1,P1是指称漏洞影响广大用户,需尽速修补。这名大学生持续测试其他API的同时,接到Google要求他停止测试的讯息,因为"利用这些内部API可能轻易造成毁损"。到3月为止,他经由这个漏洞一共发现2个内部API。
根据Google漏洞奖励方案,发现RCE漏洞可获得$31,337美元奖金。
连同该RCE漏洞Pereira还通报了另一项风险较小、价值5,000美元的漏洞。总计他获得Google的奖金为$36,337美元。Google已在5月16日修补了这项RCE漏洞。
分享到:
閱讀更多 數碼小強 的文章
