fbpx

Google Bug Tracker 內部錯漏被發現! 研發人員能獲得部分訪問權限!

Google 有Bug?! 其實這個是一件非常正常的事,畢竟Google 有這麼多的產品線,有錯誤都是正常不過。不過,是次的Bug 竟然是在 Google Bug Tracker 裡找到 Bugs!有趣程度大約跟在執法人員家找到犯罪工具差不多吧(這算什麼比喻…)。而發現漏洞的研究人員也因為這樣得到了一筆獎金。

這位研究人員在一篇Blog 內指出他在Google Bug Tracker 內發現了一個安全漏洞,該漏洞列出了用戶和開發人員報告的公司產品中的錯誤和功能請求。通過查看Issue Tracker 關於如何處理錯誤的信件,研究人員發現一個 @google.com 的email 去訪問內部的數據庫。用家可以利用這個email 地址進行一些指令,例如利用GRIDE 要求汽車服務等等。

接下來,研究人員用一個更簡單的方法去研究這個bugs。他在那跟蹤器內標註大量的Bugs令他可以無時無刻都可以收到錯誤回報。研究人員發現這個方法只可以用於這個錯誤回報只適用於需要翻譯的對話。

在第三次的測試,他將 Google Bug Tracker 的API 混淆並破解了一個接收所有Bugs 的方法。方法很簡單,只需要API 在一個有問題的線程內刪去一個有問題的Email 即可。

就是這麼簡單,這位研究人員便可得15500 的美金!

資料來源: The next web

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *

限制時效已用盡。請重新載入驗證碼。