巴基斯坦白帽黑客学生获谷歌2万美元漏洞奖励——发现了Gmail验证过程中可致电子邮件账户被劫持的漏洞。
目前创新互联已为成百上千的企业提供了网站建设、域名、虚拟主机、网站托管维护、企业网站设计、屏山网站维护等服务,公司将坚持客户导向、应用为本的策略,正道将秉承"和谐、参与、激情"的文化,与客户和合作伙伴齐心协力一起成长,共同发展。
谷歌喜欢给新手程序员、白帽黑客和安全研究人员机会参与漏洞奖励项目,来证明他们的技术和能力,已经是众所周知的事实了。
谷歌Play、Chrome Web 商店或iTunes上现有或最新的应用、插件、软件和操作系统,都是谷歌邀请全球研究人员挖掘漏洞的目标。作为回报,成功挖出漏洞者将会收获一定奖励。此类项目的核心宗旨,就是让谷歌的应用和系统更加安全。
然而,具备谷歌漏洞奖励项目(VRP)中选资格并非易事,所发现的漏洞必须落入以下列出的几种分类里:
只要漏洞被验证有效,黑客最高可获得2万美元的谷歌奖励。
艾哈迈德·麦哈塔布,Security Fuss 首席执行官,一名巴基斯坦学生,最近刚刚获此奖励。麦哈塔布发现了Gmail身份验证方法中的缺陷。
谷歌漏洞奖励计划中艾哈迈德·麦哈塔布的文档
如果某用户拥有多个电子邮件地址,谷歌允许用户关联所有邮件地址,还允许主账户的邮件被转发到从属账户中。
麦哈塔布发现了谷歌切换和关联邮件地址所采用的验证绕过方法中存在的固有缺陷,该缺陷可导致邮件ID在以下情况发生时被劫持:
劫持过程如下:
攻击者通过给谷歌发信来验证某邮件地址所有权状态。谷歌向该地址发送邮件进行确认。该邮件地址无法收取验证邮件,于是,谷歌的邮件被发回给实际发件人,而这次,里面带上了验证码。该验证码将被黑客利用,邮件地址的所有权被确认。
巴基斯坦黑客因报告安全漏洞获此大额奖金也不是第一次了。之前,安全研究员拉法·俾路支就因报告Chrome和火狐浏览器关键漏洞而获5千美元漏洞奖励,还因曝光PayPal服务器任意指令执行漏洞而获1万美元。
分享文章:Gmail认证出现漏洞任何人可劫持任意邮件账户
标题路径:http://www.shufengxianlan.com/qtweb/news45/524995.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联