日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

巴基斯坦白帽黑客學(xué)生獲谷歌2萬(wàn)美元漏洞獎(jiǎng)勵(lì)——發(fā)現(xiàn)了Gmail驗(yàn)證過(guò)程中可致電子郵件賬戶(hù)被劫持的漏洞。

目前創(chuàng)新互聯(lián)已為成百上千的企業(yè)提供了網(wǎng)站建設(shè)、域名、虛擬主機(jī)、網(wǎng)站托管維護(hù)、企業(yè)網(wǎng)站設(shè)計(jì)、屏山網(wǎng)站維護(hù)等服務(wù)，公司將堅(jiān)持客戶(hù)導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶(hù)和合作伙伴齊心協(xié)力一起成長(zhǎng)，共同發(fā)展。

谷歌喜歡給新手程序員、白帽黑客和安全研究人員機(jī)會(huì)參與漏洞獎(jiǎng)勵(lì)項(xiàng)目，來(lái)證明他們的技術(shù)和能力，已經(jīng)是眾所周知的事實(shí)了。

谷歌Play、Chrome Web 商店或iTunes上現(xiàn)有或最新的應(yīng)用、插件、軟件和操作系統(tǒng)，都是谷歌邀請(qǐng)全球研究人員挖掘漏洞的目標(biāo)。作為回報(bào)，成功挖出漏洞者將會(huì)收獲一定獎(jiǎng)勵(lì)。此類(lèi)項(xiàng)目的核心宗旨，就是讓谷歌的應(yīng)用和系統(tǒng)更加安全。

然而，具備谷歌漏洞獎(jiǎng)勵(lì)項(xiàng)目(VRP)中選資格并非易事，所發(fā)現(xiàn)的漏洞必須落入以下列出的幾種分類(lèi)里：

• 跨站腳本
• 跨站請(qǐng)求偽造
• 混合內(nèi)容腳本
• 身份驗(yàn)證或授權(quán)缺陷
• 服務(wù)器端代碼執(zhí)行漏洞

只要漏洞被驗(yàn)證有效，黑客最高可獲得2萬(wàn)美元的谷歌獎(jiǎng)勵(lì)。

艾哈邁德·麥哈塔布，Security Fuss 首席執(zhí)行官，一名巴基斯坦學(xué)生，最近剛剛獲此獎(jiǎng)勵(lì)。麥哈塔布發(fā)現(xiàn)了Gmail身份驗(yàn)證方法中的缺陷。

谷歌漏洞獎(jiǎng)勵(lì)計(jì)劃中艾哈邁德·麥哈塔布的文檔

如果某用戶(hù)擁有多個(gè)電子郵件地址，谷歌允許用戶(hù)關(guān)聯(lián)所有郵件地址，還允許主賬戶(hù)的郵件被轉(zhuǎn)發(fā)到從屬賬戶(hù)中。

麥哈塔布發(fā)現(xiàn)了谷歌切換和關(guān)聯(lián)郵件地址所采用的驗(yàn)證繞過(guò)方法中存在的固有缺陷，該缺陷可導(dǎo)致郵件ID在以下情況發(fā)生時(shí)被劫持：

• 收件人SMTP離線(xiàn)
• 郵箱被收件人停用
• 收件人不存在或是無(wú)效電郵ID
• 收件人存在但已屏蔽了發(fā)件人

劫持過(guò)程如下：

攻擊者通過(guò)給谷歌發(fā)信來(lái)驗(yàn)證某郵件地址所有權(quán)狀態(tài)。谷歌向該地址發(fā)送郵件進(jìn)行確認(rèn)。該郵件地址無(wú)法收取驗(yàn)證郵件，于是，谷歌的郵件被發(fā)回給實(shí)際發(fā)件人，而這次，里面帶上了驗(yàn)證碼。該驗(yàn)證碼將被黑客利用，郵件地址的所有權(quán)被確認(rèn)。

巴基斯坦黑客因報(bào)告安全漏洞獲此大額獎(jiǎng)金也不是第一次了。之前，安全研究員拉法·俾路支就因報(bào)告Chrome和火狐瀏覽器關(guān)鍵漏洞而獲5千美元漏洞獎(jiǎng)勵(lì)，還因曝光PayPal服務(wù)器任意指令執(zhí)行漏洞而獲1萬(wàn)美元。

網(wǎng)站名稱(chēng)：Gmail認(rèn)證出現(xiàn)漏洞任何人可劫持任意郵件賬戶(hù)
文章轉(zhuǎn)載：http://www.5511xx.com/article/dpdpsdp.html