2021年,GCP奖金分配了超过300,000美元
在发现Google Cloud Platform(GCP)的各种缺陷之后,道德黑客的收入超过300,000美元。
去年GCP漏洞奖励计划(VRP)有资格的前七名负责任地披露的漏洞总计$ 313,337,获胜者带走了133,337美元。
Google表示,GCP VRP(始于2019年)显示了许多才华横溢的安全研究人员通过发现可能未被发现的漏洞,参与改善云安全性。
授予的金额占870万美元的相当一部分谷歌在其完整的脆弱性披露计划中。
我是IAP,希望您也是API
一等奖和133,337美元的奖励授予安全研究员塞巴斯蒂安·卢茨(Sebastian Lutz),因为它发现了In In Indentility-Ination-Awance-Awance-Awance-Inawawawawance Proxy(IAP),该错误为攻击者提供了一种访问IAP保护资源的方式。
缺陷意味着,如果攻击者欺骗潜在的受害者访问他们控制的URL,他们将能够窃取其IAP身份验证令牌,如A技术博客文章。
不计算
匈牙利研究员Imre Rad在发现了接管Google Compente Engine虚拟机的机制后,获得了73,331美元的二等奖。
该黑客依靠将恶意动态主机配置协议(DHCP)数据包发送到虚拟机,以欺骗Google Compute Engine Metadata Server。
有关的绝大多数的道德黑客热衷于花更多的时间虫子赏金狩猎 - 报告
正如在Rad在GitHub上的技术文章,瑕疵和相关攻击于2020年9月首次向Google报告。
随后进行了旷日持久的披露过程,直到Rad在2021年6月公开他的发现后,Google一个月后就解决了该问题。
使用数据流
GCP VRP赌注的2021年版中的第三位,以及73,331美元的奖金 - 向安全研究员Mike Brancato迈克(Mike Brancato)进行了发现和披露远程代码执行(RCE)Google Cloud DataFlow中的漏洞。
Brancato发现,数据流节点正在暴露一个未经身份验证的Java JMX端口,这是一种安全弱点,使得可以在虚拟机上进行任意赞扬,如在虚拟机上的称赞技术博客文章。
Brancato告诉每日swbeplay2018官网ig。
研究人员解释说:“默认情况下,这是Google计算引擎默认服务帐户,该帐户已分配了项目范围的编辑器角色。编辑角色具有创建和破坏资源的很多权限 - 它是Google不建议使用的“基本角色”的一部分,因为它们提供了广泛的权限。”
他们补充说:“脆弱性攻击者确定了一个开放的防火墙端口,该端口很容易利用现有工具,例如Metasploit。
自2017年以来,安全研究人员一直从事云安全性和错误赏金狩猎已成为他们常规工作的自然延伸。
“作为我接触云的一部分蜜蜂和我的背景,我开始识别出看起来很有趣并且可能容易受到攻击的系统。” Brancato总结道。
每日swbeplay2018官网ig还邀请了卢茨和拉德评论他们各自的研究,并询问Google希望如何改善其Bug Bounty计划的注重云的元素。
