Support us

Исследователь нашёл ошибки в системе отслеживания ошибок Google

Оставить комментарий
Исследователь нашёл ошибки в системе отслеживания ошибок Google

Специалист по безопасности Алекс Бирсан обнаружил уязвимость в системе отчётности Google. Она позволяла получить доступ к полному списку багов и запросов о добавлении новых возможностей в ПО, сообщает The Next Web со ссылкой на блог разработчика.

Читать далее

Фото: NDTV Gadgets

Исследователь получил вознаграждение в $15 тысяч, но не за один, а за три найденных уязвимости. Так, изучив, как система отслеживания задач принимает информацию о багах, Бирсан обнаружил, что для доступа к базе данных достаточно почтового аккаунта на домене google.com. Он получил нужный адрес с помощью небольшой хитрости, благодаря чему смог попасть в определённые блоки системы и даже заказать поездку на внутреннем автомобильном сервисе GRide.

После этого Бирсан попробовал новый, более простой способ внедриться в систему. Отметив большое количество сообщений о багах, он начал получать сообщения о ходе работ по исправлению некоторых уязвимостей.

Наконец, третьим способом взлома стала возможность получить подробности любого бага. Это оказалось возможно сделать, направив API отслеживания задач запрос по удалению почтового адреса из ветки обсуждения уязвимости.

Подробнее работа программиста описана в его блоге.

Благодаря своей находчивости Бирсан получил $15,6 тысяч. Кроме этого, одну из проблем Google решила спустя час после отправления сообщения о ней — весьма оперативные действия для огромной корпорации. У самого исследователя ушло 17 часов на работу по выявлению всех трёх уязвимостей.

Место солидарности беларусского ИТ-комьюнити

Далучайся!

Читайте также
10+ сертификаций Coursera, которые могут изменить вашу карьеру
10+ сертификаций Coursera, которые могут изменить вашу карьеру
10+ сертификаций Coursera, которые могут изменить вашу карьеру
Бюджетный способ прокачать навыки и повысить зарплату — это профессиональный сертификат от Google, IBM или крупного зарубежного университета. На Coursera как раз можно найти десятки полезных обучающих программ по машинному обучению, проджект-менеджменту и не только. Собрали 10+ сертификаций, которые будут выигрышно смотреться в резюме как новичка, так и опытного специалиста.
Дизайн, VR и интернет вещей: 10 доступных онлайн-курсов от Google, Amazon и других гигантов
Дизайн, VR и интернет вещей: 10 доступных онлайн-курсов от Google, Amazon и других гигантов
Дизайн, VR и интернет вещей: 10 доступных онлайн-курсов от Google, Amazon и других гигантов
На платформе Coursera можно найти сотни курсов от крупных корпораций, включая Google, Amazon и HubSpot. Это отличная возможность начать новую карьеру, повысить квалификацию и просто получить плюс в профессиональную карму. Мы собрали 10 программ от ИТ-компаний, которые помогут освоить машинное обучение, UX-дизайн, продакт-менеджмент, кибербезопасность и многое другое.
12 VPN-сервисов, которые помогут обходить блокировки
12 VPN-сервисов, которые помогут обходить блокировки
12 VPN-сервисов, которые помогут обходить блокировки
Сделали обзор VPN-сервисов, которые лидируют в рейтингах, и сделают вашу работу в интернете быстрой и безопасной.
3 комментария
Акция от NordVPN: Скидка 68% + 3 месяца бесплатно
Акция от NordVPN: Скидка 68% + 3 месяца бесплатно
Акция от NordVPN: Скидка 68% + 3 месяца бесплатно
Только сегодня при покупке NordVPN c тарифным планом на 2 года или год вы экономите до 68% и получаете возможность блокировать вредоносные ПО, трекеры, защищать вашу личную информацию от различных веб-сайтов. 
7 комментариев

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.