巴基斯坦白帽黑客學生獲谷歌2萬美元漏洞獎勵——發(fā)現(xiàn)了Gmail驗證過程中可致電子郵件賬戶被劫持的漏洞。

谷歌喜歡給新手程序員、白帽黑客和安全研究人員機會參與漏洞獎勵項目，來證明他們的技術和能力，已經(jīng)是眾所周知的事實了。

谷歌Play、Chrome Web 商店或iTunes上現(xiàn)有或最新的應用、插件、軟件和操作系統(tǒng)，都是谷歌邀請全球研究人員挖掘漏洞的目標。作為回報，成功挖出漏洞者將會收獲一定獎勵。此類項目的核心宗旨，就是讓谷歌的應用和系統(tǒng)更加安全。

然而，具備谷歌漏洞獎勵項目(VRP)中選資格并非易事，所發(fā)現(xiàn)的漏洞必須落入以下列出的幾種分類里：

• 跨站腳本
• 跨站請求偽造
• 混合內(nèi)容腳本
• 身份驗證或授權缺陷
• 服務器端代碼執(zhí)行漏洞

只要漏洞被驗證有效，黑客最高可獲得2萬美元的谷歌獎勵。

艾哈邁德·麥哈塔布，Security Fuss 首席執(zhí)行官，一名巴基斯坦學生，最近剛剛獲此獎勵。麥哈塔布發(fā)現(xiàn)了Gmail身份驗證方法中的缺陷。

谷歌漏洞獎勵計劃中艾哈邁德·麥哈塔布的文檔

如果某用戶擁有多個電子郵件地址，谷歌允許用戶關聯(lián)所有郵件地址，還允許主賬戶的郵件被轉發(fā)到從屬賬戶中。

麥哈塔布發(fā)現(xiàn)了谷歌切換和關聯(lián)郵件地址所采用的驗證繞過方法中存在的固有缺陷，該缺陷可導致郵件ID在以下情況發(fā)生時被劫持：

• 收件人SMTP離線
• 郵箱被收件人停用
• 收件人不存在或是無效電郵ID
• 收件人存在但已屏蔽了發(fā)件人

劫持過程如下：

攻擊者通過給谷歌發(fā)信來驗證某郵件地址所有權狀態(tài)。谷歌向該地址發(fā)送郵件進行確認。該郵件地址無法收取驗證郵件，于是，谷歌的郵件被發(fā)回給實際發(fā)件人，而這次，里面帶上了驗證碼。該驗證碼將被黑客利用，郵件地址的所有權被確認。

巴基斯坦黑客因報告安全漏洞獲此大額獎金也不是第一次了。之前，安全研究員拉法·俾路支就因報告Chrome和火狐瀏覽器關鍵漏洞而獲5千美元漏洞獎勵，還因曝光PayPal服務器任意指令執(zhí)行漏洞而獲1萬美元。