一名年僅18歲的大學生因為揭露了Google App Engine重大的遠端代碼執行(remote code engine,RCE)漏洞,而獲得Google頒發$36,337美元的獎金。
Google App Engine(GAE)是Google雲端代管運行及開發客戶web app的平臺。這名現在就讀烏拉圭民主本科的學生Ezequiel Pereira今年2月使用GAE時準備上傳其開發的app時,無意間成功登入GAE測試用的部署環境,發現該平臺針其特定呼叫回傳的訊息暴露了內部的API。之後經過幾次測試,他已能對代管於其上的app執行一般外部使用者無法執行的行為。
他於是經過Google的漏洞獎勵方案回報,Google隨後回應認為該漏洞為RCE漏洞,重要性列為P1,P1是指稱漏洞影響廣大用戶,需儘速修補。這名大學生持續測試其他API的同時,接到Google要求他停止測試的訊息,因為"利用這些內部API可能輕易造成毀損"。到3月為止,他經由這個漏洞一共發現2個內部API。
根據Google漏洞獎勵方案,發現RCE漏洞可獲得$31,337美元獎金。
連同該RCE漏洞Pereira還通報了另一項風險較小、價值5,000美元的漏洞。總計他獲得Google的獎金為$36,337美元。Google已在5月16日修補了這項RCE漏洞。
分享到:
閱讀更多 數碼小強 的文章
