IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

Google网站恳请黑客们出手黑了自己

2010年11月02日
网络/李强

在Chrome抓虫奖励活动中,黑客们没少帮助Google发现Chrome浏览器的安全问题。
现在Google决定将这一活动延伸到自己的网络产品上,包括但不限于:

  • *.google.com
  • *.youtube.com
  • *.blogger.com
  • *.orkut.com

不过这次抓虫活动仅限所有Google的在线产品,而不包括客户端应用(比如Android、Picasa、Google Desktop等),不过Google说将来会有的。

另外就是,你把youtube.com通过DNS污染搞到访问不能是无法获奖的(方叫兽内牛满面),捉虫的范围仅限:

  • XSS
  • XSRF / CSRF
  • XSSI(包括跨网站脚本)
  • 绕过授权控制(比如用户A可以访问用户B的私有数据)
  • 服务器端代码执行或命令注入

出于对所有用户正常访问的考虑,Google请求各位黑客不要使用自动化的测试工具,另外黑客们还需要高抬贵手,避免出现以下情况:

  • 攻击Google公司的设施
  • 物理攻击和社会化工程
  • 拒绝服务漏洞
  • 非网页应用漏洞,包括客户端应用的漏洞
  • SEO黑帽技术
  • 以Google品牌交由第三方运营的网站
  • 最近被Google收购的技术里存在的bug

Google还强调,大家只能对自己的账号或测试帐号下手,千万不要入侵爱好摄影的陈老师的个人帐户,搞出新一轮的艳照门就不好玩了。也不要玩大规模拒绝服务攻击之类的低水平手段。

如果你真的发现了漏洞,可以联系Google的安全人员,注意要发对了负责人。一旦你真的找到了漏洞,Google会支付给你500美元奖金,如果漏洞足够重大,奖金甚至会达到3113.7美元之多(由Google安全团队来决定)。一般来说高水平黑客都不在乎钱这种浮云似的东西,所以Google也提供捐献渠道。

高手们赶紧行动起来吧,Google只会支付给第一个发现bug的人,你要是发现晚了就百忙活了。看起来Google对自己网络产品的安全还是很有自信的,当然这还是一个百密一疏的问题,所以这次比赛肯定能帮助Google将自己的安全水平提升到新的级别。

最后说说截图里的事件,这不是Google被黑了,而是Google自己犯下的一个错误(号称是把白名单跟黑名单的判断给搞反了),此事发生在2009年1月31日夜里,谷粉们应该印象深刻,这也是我印象中Google搜索出现的最严重的问题。

发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

Power架构产品创新 IBM推动其本土化发展
Power架构产品创新 IBM推动其本土化发展自从1990年,IBM推出基于RISC系统的新产品线RS/6000(现称eServer p系列)之后,...
WAF:高校Web应用安全守护者
WAF:高校Web应用安全守护者最近几年高校网站被攻击的事件时有发生,造成了不良影响,因此越来越多的高校开始...

本类热点