Google 广发英雄帖，恳请黑客们出手黑了自己

在Chrome抓虫奖励活动中，黑客们没少帮助Google发现Chrome浏览器的安全问题。
现在Google决定将这一活动延伸到自己的网络产品上，包括但不限于：

• *.google.com
• *.youtube.com
• *.blogger.com
• *.orkut.com

不过这次抓虫活动仅限所有Google的在线产品，而不包括客户端应用（比如Android、Picasa、Google Desktop等），不过Google说将来会有的。

另外就是，你把youtube.com通过DNS污染搞到访问不能是无法获奖的（方叫兽内牛满面），捉虫的范围仅限：

• XSS
• XSRF / CSRF
• XSSI（包括跨网站脚本）
• 绕过授权控制（比如用户A可以访问用户B的私有数据）
• 服务器端代码执行或命令注入

出于对所有用户正常访问的考虑，Google请求各位黑客不要使用自动化的测试工具，另外黑客们还需要高抬贵手，避免出现以下情况：

• 攻击Google公司的设施
• 物理攻击和社会化工程
• 拒绝服务漏洞
• 非网页应用漏洞，包括客户端应用的漏洞
• SEO黑帽技术
• 以Google品牌交由第三方运营的网站
• 最近被Google收购的技术里存在的bug

Google还强调，大家只能对自己的账号或测试帐号下手，千万不要入侵爱好摄影的陈老师的个人帐户，搞出新一轮的艳照门就不好玩了。也不要玩大规模拒绝服务攻击之类的低水平手段。

如果你真的发现了漏洞，可以 联系Google的安全人员 ，注意要发对了负责人。一旦你真的找到了漏洞，Google会支付给你500美元奖金，如果漏洞足够重大，奖金甚至会达到3113.7美元之多（由Google安全团队来决定）。一般来说高水平黑客都不在乎钱这种浮云似的东西，所以Google也提供捐献渠道。

高手们赶紧行动起来吧，Google只会支付给第一个发现bug的人，你要是发现晚了就百忙活了。看起来Google对自己网络产品的安全还是很有自信的，当然这还是一个百密一疏的问题，所以这次比赛肯定能帮助Google将自己的安全水平提升到新的级别。

最后说说 截图里的事件 ，这不是Google被黑了，而是Google自己犯下的一个错误（号称是把白名单跟黑名单的判断给搞反了），此事发生在2009年1月31日夜里，谷粉们应该印象深刻，这也是我印象中Google搜索出现的最严重的问题。