首页>科技 >内容

18岁大学生找出Google App Engine重大RCE漏洞抱走3.6万美元奖金

科技2021-02-28 22:06:14
最佳答案

图片来源:

Google

一名年仅18岁的大学生因为揭露了Google App Engine重大的远端程式码执行(remote code engine, RCE)漏洞,而获得Google颁发$36,337美元的奖金。

Google App Engine (GAE) 是Google云端代管运行及开发客户web app的平台。这名现在就读乌拉圭民主大学的学生Ezequiel Pereira今年2月使用GAE时準备上传其开发的app时,无意间成功登入GAE测试用的部署环境,发现该平台针其特定呼叫回传的讯息暴露了内部的API。之后经过几次测试,他已能对代管于其上的app执行一般外部使用者无法执行的行为。

他于是经过Google的漏洞奖励方案回报,Google随后回应认为该漏洞为RCE漏洞,重要性列为P1 ,P1是指称漏洞影响广大用户,需儘速修补。这名大学生持续测试其他API的同时,接到Google要求他停止测试的讯息,因为「利用这些内部API可能轻易造成毁损。」到3月为止,他经由这个漏洞一共发现2个内部API。

根据Google漏洞奖励方案,发现RCE漏洞可获得$31,337美元奖金。

连同该RCE漏洞Pereira还通报了另一项风险较小、价值5,000美元的漏洞。总计他获得Google的奖金为$36,337美元。Google已在5月16日修补了这项RCE漏洞。

免责声明:本文由用户上传,如有侵权请联系删除!