newliver

newliver的分享

他的个人主页  他的分享

Google 广发英雄帖,恳请黑客们出手黑了自己

newliver   2010年11月02日 星期二 14:37 | 0条评论

在Chrome抓虫奖励活动中,黑客们没少帮助Google发现Chrome浏览器的安全问题。
现在Google决定将这一活动延伸到自己的网络产品上,包括但不限于:


  • *.google.com
  • *.youtube.com
  • *.blogger.com
  • *.orkut.com

不过这次抓虫活动仅限所有Google的在线产品,而不包括客户端应用(比如Android、Picasa、Google Desktop等),不过Google说将来会有的。

另外就是,你把youtube.com通过DNS污染搞到访问不能是无法获奖的(方叫兽内牛满面),捉虫的范围仅限:

  • XSS
  • XSRF / CSRF
  • XSSI(包括跨网站脚本)
  • 绕过授权控制(比如用户A可以访问用户B的私有数据)
  • 服务器端代码执行或命令注入

出于对所有用户正常访问的考虑,Google请求各位黑客不要使用自动化的测试工具,另外黑客们还需要高抬贵手,避免出现以下情况:

  • 攻击Google公司的设施
  • 物理攻击和社会化工程
  • 拒绝服务漏洞
  • 非网页应用漏洞,包括客户端应用的漏洞
  • SEO黑帽技术
  • 以Google品牌交由第三方运营的网站
  • 最近被Google收购的技术里存在的bug

Google还强调,大家只能对自己的账号或测试帐号下手,千万不要入侵爱好摄影的陈老师的个人帐户,搞出新一轮的艳照门就不好玩了。也不要玩大规模拒绝服务攻击之类的低水平手段。

如果你真的发现了漏洞,可以 联系Google的安全人员 ,注意要发对了负责人。一旦你真的找到了漏洞,Google会支付给你500美元奖金,如果漏洞足够重大,奖金甚至会达到3113.7美元之多(由Google安全团队来决定)。一般来说高水平黑客都不在乎钱这种浮云似的东西,所以Google也提供捐献渠道。

高手们赶紧行动起来吧,Google只会支付给第一个发现bug的人,你要是发现晚了就百忙活了。看起来Google对自己网络产品的安全还是很有自信的,当然这还是一个百密一疏的问题,所以这次比赛肯定能帮助Google将自己的安全水平提升到新的级别。

最后说说 截图里的事件 ,这不是Google被黑了,而是Google自己犯下的一个错误(号称是把白名单跟黑名单的判断给搞反了),此事发生在2009年1月31日夜里,谷粉们应该印象深刻,这也是我印象中Google搜索出现的最严重的问题。

评论

我的评论:

发表评论

请 登录 后发表评论。还没有在Zeuux哲思注册吗?现在 注册 !

暂时没有评论

Zeuux © 2020

京ICP备05028076号