• 一名白帽子是如何说服CEO增加漏洞奖金的,雷·阿伦
  • 发布时间:2016-08-12 22:04 | 作者:第一网络 | 来源:第一网络编辑
  • 其实要做个受人景仰的白帽子也没那么难,国外某独立安全研究人员Nathan Malcolm最近就在自己的博客中记录了他与Imgur安全团队斡旋,帮助Imgur发现安全问题的全过程,最终甚至还成功说服了Imgur的CEO,给予自己更多奖励,显得相当有趣。

     

    \

     

    初次挖洞获得虚拟金币奖励

    Imgur是国外颇受欢迎的图片分享平台,类似于Instagram。Nathan Malcolm之所以选择在Imgur挖洞,是因为他平常最常用的图片分享工具就是Imgur。

    2015年7月份,按照常规,他最先发掘了Imgur的XSS、点击劫持、CSRF等漏洞。然后将这些漏洞汇总为报告,提交给Imgur的支持团队。大约几小时后,Malcolm就收到了Imgur创始人兼CEO Alan Schaaf的亲自回邮——那个时候Imgur还没有专门的安全问题反馈通道。

    Schaaf向Malcolm表示了感谢,还发了一些虚拟金币作为奖励。Malcolm在随后的几天时间里仍在坚持挖洞,而且他还会去检查Imgur是否真的修复了他上报的这些漏洞。结果还是比较令人满意的,Imgur对于这些安全问题都挺慎重,绝大部分问题都在第一时间进行了修复。

    不过去年9月份的时候,Imgur遭遇被黑事件——攻击者向Imgur上传带恶意JS的HTML文件,以8chan用户为目标。Imgur方面很快修复了问题,大概是意识到安全问题的重要性,一周之后还发布了“BUG奖励计划”。

     

    \

     

    奖金就给50美元 “我很不爽”

    从此以后,Imgur就有了正规的安全报告提交通道。Malcolm在得知Imgur有了自己的“BUG奖励计划”之后,再度联系了Imgur的CEO,询问先前他提交的那些报告还做不做数,能不能换到奖金。Imgur的一名开发人员进行了回应,给了Malcolm 50美元奖金。

    就拿这么点钱,让Malcolm稍微有那么点不爽,他在博客中谈到自己的劳动不该只值50美元。接下来故事的走向应该是Malcolm拍案而起把Imgur的服务器给黑了——作为一个有职业道德的白帽子,Malcolm肯定是不会这么做的,而是继续观察Imgur存在的问题。他很早之前就发现了下面这串代码:

    $(function() {

    if(!/^([^:]+:)\/\/([^.]+\.)*imgur(-dev)?\.com(\/.*)?$/.test(document.referrer)) {

    Imgur.Util.jafoLog({ event: ‘galleryDisplay’, meta: { gallerySort: ‘viral’, galleryType: ‘hot’ }});

    }

    });

    基于此,他开始研究这里的imgur-dev.com域名——事实证明,该域名是Imgur用于内部开发的。Malcolm顺手在谷歌搜索中找了找该域名的痕迹(在搜索引擎中输入site:imgur-dev.com——搜索小常识,可查看搜索引擎收录此网站多少网页),发现谷歌先前就已经开始收录其二级域名alan.imgur-dev.com了,里面是个开发版Imgur。

    只不过Malcolm在进行搜索操作的时候,imgur-dev.com已经处于离线状态(虽然缓存信息仍然具备了相当价值)。去年11月份时,他又去看了一眼imgur-dev.com,发现这次alan.imgur-dev.com居然上线了,而且可以访问,里面能看到部分用户和发布的测试消息。整个环境仍然是开发环境,其中可以看到部分Imgur源码、PHP警告信息、环境细节、数据库查询、配置文件完整路径等信息(stacktraces)。

     

    猜您喜欢:
  • 相关内容
  • 2010-2016 第一网络 版权所有 | 联系邮箱:1234165454@qq.com 赣ICP06546454号
  • 聚焦应用创新、前沿技术、电子商务、网络热点;介绍精彩E生活;第一网络是互联网行业资讯平台、用户最信任的个人网上信息资讯平台,包含各互联网行业的信息资讯。