看我如何挖掘价值36,000美元的谷歌应用程序引擎漏洞

在发现与Google App Engine相关的严重远程代码执行漏洞后，一名18岁的研究人员从Google获得了超过36,000美元的奖金。

作为Google Cloud产品的一部分，App Engine是一个允许用户在完全无管理的无服务器平台上开发和托管Web应用程序的框架。

今年2月，来自乌拉圭的学生Ezequiel Pereira设法获得了非生产Google App Engine开发环境。一旦他获得访问权限，他发现他可以使用Google的一些内部API。

Pereira在通过Google的漏洞奖励计划（VRP）发布首次报告之前没有注意到任何危险的事情，但他的调查结果被赋予了P1优先级，这表明该问题需要迅速解决，因为它可能会影响大部分用户。

研究人员仔细研究后，确实遇到了一些有趣的方法，并向谷歌提交了第二份报告。继第二份报告之后，该技术巨头将问题升级，并建议Pereira停止测试，因为他可能“很容易使用这些内部API破坏某些东西”。

谷歌自己对安全漏洞的分析导致他们认定他们可能被利用来远程执行代码，“由于Google的工作方式”。

谷歌授予研究人员总共36,337美元的调查结果，其中包括5,000美元的不太严重的问题。第一份报告于2月25日发给公司，并在3月6日至13日的某个时间推出了一个补丁，Pereira说。

这位专家发表了一篇博客文章，详细介绍了他的发现以及他与Google的互动。

这不是佩雷拉第一次在Google服务中发现严重的漏洞。在过去的几年中，他通过VRP获得了数千美元。

由于担心供应商可能会低估他们的发现，如果他们没有清楚地证明漏洞的影响，Bug赏金猎人经常会将他们的测试推到极限。不过，至少在佩雷拉的情况下，谷歌似乎已经计算出基于完全潜在影响的错误赏金支出。在过去，这位专家为缺陷提供了高达1万美元的补偿，而这些缺陷在缺陷奖赏方面似乎并不值得。