Google concede $ 5k recompensa para YouTube Video Excluir Bug
- Quinta, 9th Abril, 2015
- 21:26pm
Estudante e pesquisador de segurança Kamil Hismatullin recentemente levou Google up em sua concessão oferta pesquisa de vulnerabilidades, aceitando um adiantamento em dinheiro 1,337 dólares em troca de uma promessa de buscar cross-site scripting e cross-site request forgery erros em Creator Studio da YouTube. Durante a realização dessa pesquisa, Hismatullin descobriu que poderia apagar literalmente qualquer vídeo enviado no serviço de streaming maciçamente popular da Google.
Além do dinheiro da concessão, o Google pagou Hismatullin US $ 5.000 em dinheiro bug recompensa, que é um preço relativamente pequeno, considerando o alcance e impacto potencial do bug em questão.
Hisnmatulling demonstra sua exploração desta vulnerabilidade, descrito como um "bug lógica", em um vídeo de prova de conceito carregado, ironicamente, para o YouTube. Os logs de pesquisador em Creator Estúdio e entra na URL do vídeo que ele gostaria de apagar para o campo POST. Ele, então, copia o valor 'event_id' fora de URL do vídeo e do 'session_token' fora do código-fonte HTML do vídeo em campos dos form-data "no Creator Studio. Uma vez que ele envia a solicitação POST, não há uma resposta dizendo que o "sucesso" e o vídeo é dito ter sido removido pelo usuário, se alguém tentar vê-lo. - See more at:
O pesquisador diz que passou cerca de sete horas encontrar o bug.
Quando ele relatou que a Google, cedo na manhã de sábado, a empresa emitiu uma resposta rápida e corrigido o erro dentro de algumas horas. Apesar disso, Hismatullin afirma a empresa pediu-lhe para não publicar os detalhes do bug por algumas semanas, enquanto assegurou que o problema foi totalmente resolvido.
Threatpost estendeu a mão para o Google para confirmação, mas ele não respondeu ao nosso pedido de comentário antes da data da publicação.
Google adicionou up-front bolsas de investigação para o seu programa de recompensas bug no início de fevereiro . O novo programa oferece tanto quanto $ 3.133,70 para os investigadores que trabalharam no generosidades erros no passado.
O pagamento é para o desempenho de pesquisa de vulnerabilidades e pesquisadores são pagos antecipadamente, independentemente de eles descobrir erros ou não.
