Tags:
Node Thumbnail

Ezequiel Pereira นักเรียนมัธยมจากอุรุกวัยทดลองค้นหาเว็บภายในของกูเกิลที่มักเป็นโดเมน *.appspot.com หรือ *.googleplex.com โดยพบว่าเว็บส่วนมากหากไม่มีอยู่จริงก็มักจะถูก redirect ไปยังหน้าล็อกอินของบริษัท (login.corp.google.com) แต่หลังจากสแกนไประยะหนึ่งกลับพบว่าเว็บ yaqs.googleplex.com กลับเข้าถึงได้โดยไม่ต้องล็อกอินใดๆ

เว็บ yaqs เป็นเว็บแสดงข้อมูลบริการภายในและโครงสร้างของกูเกิล พร้อมกับลงท้ายเว็บว่า "Google Confidential" เขาจึงหยุดสำรวจและอีเมลหากูเกิลทันที กูเกิลตอบกลับสี่ชั่วโมงถัดมาว่าได้รับเรื่องแล้ว และอีเมลต่อมาระบุว่าให้รอผลการพิจารณารางวัลจากคณะกรรมการในการประชุมรอบต่อไป เขารอประมาณหนึ่งเดือนจึงได้อีเมลแจ้งรางวัล 10,000 ดอลลาร์

Ezequiel สอบถามกูเกิลว่าทำไมรางวัลจึงใหญ่ขนาดนี้ และทีมความปลอดภัยกูเกิลระบุว่าช่องโหว่ที่เขาพบสามารถเข้าถึงเว็บอื่นๆ ที่มีข้อมูลสำคัญได้อีก

ที่มา - ThreatPost, $10k host header

Get latest news from Blognone

Comments

By: criminals
iPhoneWindows PhoneAndroidUbuntu
on 11 August 2017 - 05:38 #1002024

เก่งดีจังเลยเด็กสมัยนี้

By: Greatpot
Windows PhoneWindows
on 11 August 2017 - 08:45 #1002034 Reply to:1002024
Greatpot's picture

กูเกิ้ลเองก็ตอบแทนได้เหมาะสมเช่นเดียวกันครับ :)

By: criminals
iPhoneWindows PhoneAndroidUbuntu
on 11 August 2017 - 10:43 #1002070 Reply to:1002034

เห็นด้วยครับ

By: impascetic
Android
on 11 August 2017 - 11:54 #1002082 Reply to:1002034

เด็กก็ดูไม่ได้โลภด้วยนะ มีถามหาเหตุผลด้วยว่าทำไมให้เยอะจัง

By: ck4u
iPhoneWindows PhoneBlackberrySymbian
on 11 August 2017 - 08:53 #1002038

บริษัทในไทยมีแบบนี้บ้างไหม หาบั๊คแล้วได้รางวัล

By: LazarusSP1
ContributoriPhone
on 11 August 2017 - 09:26 #1002046 Reply to:1002038

เด็กน่าจะโดนแจ้งความ พรบ.คอม กลับครับ บริษัทในไทยไม่ค่อยมีใครให้ความสำคัญกับ Bug Bounty เท่าไหร่

By: doanga2007
AndroidSymbianUbuntu
on 11 August 2017 - 09:46 #1002054 Reply to:1002046
doanga2007's picture

กรณีนี้ ไม่ขำเต็มๆ เพราะ Bug ในโปรแกรม / App เป็นตัวบั่นทอนคุณภาพของ โปรแกรม / App ลง ซึ่งผมเคยเจอในช่วง Firefox Nightly ช่วงรุ่น 3.7a1 ไปยังรุ่น 4.0 ช่วงนั้น ก็แจ้ง Bug ผ่านระบบ Mozilla ซึ่งหลังจากนั้น Firefox Nightly ก็มี Bug น้อยลง จนใช้แทน Firefox Stable ได้แล้วครับ

By: allinsense
iPhoneWindows PhoneAndroidBlackberry
on 11 August 2017 - 12:08 #1002083 Reply to:1002038
allinsense's picture

ได้รางวัลใหญ่เป็นขนมสองถุง พร้อมตอบสังคมว่า บริษัทมีหนี้สินอยู่ จำเป็นต้องใช้เงินในการใช้หนี้ก่อนครับ ?

By: Auftrag on 11 August 2017 - 12:38 #1002093 Reply to:1002083
Auftrag's picture

หรือไม่ก็ อุตส่าห์ใช้เวลาหาบัคให้ตั้งหกเดือน บริษัทควรจะจ่ายเงินเดือน ให้มากกว่านี้สิ

By: Lennon
iPhoneWindows PhoneAndroidSymbian
on 11 August 2017 - 13:22 #1002102 Reply to:1002038

ไม่มีข่าวตั้งแต่แรกแล้วครับ อย่างมากก็คงให้กันลับหลังซัก 5000 - หมื่นนึง พร้อมขอร้องว่าอย่าไปโพสท์ลงที่ไหนนะจ๊ะ

By: Gored on 11 August 2017 - 13:47 #1002106 Reply to:1002038
Gored's picture

เคยมีบริษัทหนังบอกใครพบการละเมิดหนังให้ส่งเมล์หรือโทรมา มีรางวัลนำจับพอโทรไปเรื่องเงียบ จากนั้นก็โทรไปแจ้งอีกโดนด่าว่าโรคจิตโทรมาอยู่ได้ไม่มีการงานทำหรือไง เออก็บอกเองว่าใครมีเบาะแสให้แจ้งก็แจ้งเเล้วเสือกโดนด่าอีก

By: deawx on 11 August 2017 - 09:17 #1002044

ถ้าในประเทศไทย น้องคนนั้น คงโดนแจ้งข้อหา ผิด พรบ คอมพิวเตอร์ เข้าคุกเสียค่าปรับไปตามระเบียบ

By: jatiyanon
Android
on 11 August 2017 - 10:41 #1002068 Reply to:1002044
jatiyanon's picture

น้องคนนั้น เด็กไทยน่ะหรอ เหอะ เล่นเว็บเค้าเละ เอาข้อมูลมาเผยแพร่ โชว์ความเทพ แน่นอนโดนจับ

By: whitebigbird
Contributor
on 11 August 2017 - 10:43 #1002071 Reply to:1002044
whitebigbird's picture

นอกอาจจะได้ "สิ่งดีๆ" กว่านั้นครับ ได้ไปทำงานให้หน่วยงานรัฐอะไรแบบนี้

By: platalay
iPhoneWindows PhoneAndroidWindows
on 11 August 2017 - 12:21 #1002087 Reply to:1002071

เช่นไปสานตะกร้าที่กรมราชทัณฑ์

By: tomyum
ContributorAndroidWindows
on 11 August 2017 - 11:41 #1002081
tomyum's picture

เด็กมือซนนี่เยอะจัง ดีว่ามีสามัญสำนึกดี