Wouter Ter Maat在第一GCP研究奖中排名第一
更新安全研究员Wouter Ter Maat因他在Cloud Shell Security领域的工作而被任命为首届Google Cloud Platform(GCP)漏洞研究奖的冠军。
GCP脆弱性奖励计划(VRP)是由Google创建的,目的是为技术巨头的云计算基础架构提供新鲜的启示,有希望的100,000美元的奖品致“影响GCP的最佳漏洞”的记者。
在更新昨天,谷歌表示,作为新计划的一部分,它收到了“许多有趣的条目”,但Ter Maat对云壳脆弱性的探索占据了首位。
荷兰研究员的写上去专注于四个Google Cloud Shell错误 - 首先利用了“云外壳中的开放式”功能,以克隆GIT存储库托管在GitHub或Bitbucket上。
Ter Maat(@wtm_offensi)继续展示了如何使用恶意自定义云外壳图像来获得未经授权的GCP资源访问,然后再解释如何使用Mercurial/HG客户端的路径检查逻辑中的脆弱性允许攻击者在外面写文件。repository’s boundaries.
LiveOverflow功能
如果Ter Maat的云安全研究似乎很熟悉,那可能是由于他展示了他的漏洞去年在流行的LiveOverflow YouTube频道上。
研究人员在他的视频演练中解释说:“如果您可以妥协或访问其他用户的云外壳,这意味着您可以访问所有[用户]资源。”
Wouter Ter Maat的研究在ALiveOverFlow YouTube视频去年
对于LiveOverflow安全教育渠道的所有者Fabian Faessler,Google合作是该组织对安全响应和脆弱性披露的主动方法的另一个演示。
Faessler在视频介绍中说:“ Google想赞助一个视频,谈论某人在其中一种产品中发现的安全漏洞。”
“考虑一下:他们想付钱,以便我非常公开地分享Google有一个安全问题。对于大多数其他公司来说,这听起来可能很疯狂,但是我们知道Google一直拥有一个很大的脆弱性奖励计划。”
奖励研究人员
Ter Maat因协调GCP安全漏洞的协调披露而获得了100,000美元。
他告诉我:“谷歌在2月初与我联系,让我知道我是前三名竞争者之一。”每日swbeplay2018官网ig。“我真的很惊讶和兴奋……两周后,我收到了我成为赢家的消息。惊人!”
Security Pro表示,奖励将作为“薪水”,而他继续调查Google的产品和服务漏洞。
他说:“这确保我可以在尝试改善游戏并专注于乐趣和耗时的挑战时为家人提供服务,而不必担心短期收入。”
“我一定会参加2020年!我非常喜欢过去的几年。Google提供了很多很大的机会和有趣的活动,我有机会与您会发现的一些最友好,最熟练的人见面(bug猎人和Googleers)。”
为了鼓励更多的安全研究人员在GCP中寻找漏洞,Google将为2020年云研究计划提供的总奖励增加了三倍,并承诺将获得超过133,000美元的奖金。
本文已更新,以包括Wouter Ter Maat的评论。
