Google's Vulnerability Reward Program - ma<s>atokinugawa's blog

Googleは2010年11月からGoogleのウェブアプリケーションのセキュリティ脆弱性を報告した人に報酬を支払う制度をスタートしました。僕も早速いくつか報告し、以前TwitterでGoogleから$7337頂いたよとつぶやきましたが、あれから新たに$6337の入金があり、今のところこの制度で$13174($1337 × 2 + $1000 × 2 + $500 × 17)を頂いています！ありがとう！ 追記 7337+6337=13674なので入金があったのは$13674($1337 × 2 + $1000 × 2 + $500 × 18)でした。合計を間違えてました。足し算難しい！＞＜+$500！ 修正されたものは情報を公開してもいいとのことなので、報告した中から多少変わったタイプの脆弱性を3つ紹介しようと思います。 <script>タグのsrcを細工することによるXSS こんなページ

[fabled]

Googleの脆弱性みつけて13674ドル（約104万円）貰った人の記事。なるほど全くわからんｗ

[ttsubono]

こりゃすごい。Googleのセキュリティホール見つけて報酬もらってる日本人

[raimon49]

よく思い付くなぁ。

[nitoyon]

XSS 探しで小遣い稼ぎ。

[rokujyouhitoma]

これで暮らせる?

[z0rac]

つうかIEのバグではないかと思う。

[mohayonao]

すげー。全然ピンとこないｗ

[Chisei]

UTF-7の問題について学習した

[zorio]

これで生活していけそうな勢い。

[suzuki107]

なるほど、わからん。

[toaruR]

すげぇ

[n2s]

これで次からはlivedoorからの報奨金も上がりますね。/ 「スタイルシートのパス…」について理解すること＞自分

[yu7]

Googleのウェブアプリケーションのセキュリティ脆弱性を報告した人に報酬を支払う制度で貰った方

[keyboardmania]

［あとで試す］

[Cherenkov]

スゲーなぁ。ケタが違う。

[amourkarin]

すごい

[TAKAPPRS]

なんかすごいテンション上がった。すげぇ。

[s_nagano]

日本にもすごいひとがいる

[ogijun]

すごい。かっこいい。

[efcl]

クエリがパスになるパターン、タグのhrefに指定されているHTMLのページをスタイルシートとして使用、UTF-7で改行(%0a)がはじかれた場合の回避

[Yamashiro0217]

ぱねぇっす

[syanbi]

金ェ

[sutebuu]

これは本当に腑に落ちる方法。エンジニアの水準に自信がないとできないだろうけど。

[saitoudaitoku]

脆弱性を見つけてGoogleから$13,174もらってる。高いのか？安いのか？

[ytRino]

$13174という額もすごいが内容もやっぱりすごかった

[touhousintyaku]

わけわからん

[androidzaurus]

XSS探してお小遣い。

[kaito834]

masatokinugawaさんがGoogle Vulnerablility Reward Program で報告した脆弱性に関するブログ記事。「<script>タグのsrcを細工することによるXSS」「スタイルシートのパスを細工することよるXSS」「UTF-7による<script>タグを使った情報窃取」

[hirorock]

GoogleのXSS これは面白い！！アタック方法の知識が無いとXSS対策はできないと思いますので参考になりました

[liquidfunc]

すげぇ…素養がなくてぜんぜんわからん。勉強しよ