Google beloont beveiligingslek in zoekmachine met 1337 dollar
Google heeft een beveiligingslek in de eigen zoekmachine gedicht waardoor het mogelijk was om zoekresultaten te manipuleren en de onderzoeker die het probleem rapporteerde met 1337 dollar beloond. Een bedrag dat zowel volgens de onderzoeker als critici te laag is voor de ernst van de kwetsbaarheid.
Tom Anthony, vice-president bij een online marketingbureau, slaagde erin om met een domein van slechts 12 dollar zonder eigen content op dezelfde plek in de zoekresultaten te komen als Amazon, Wallmart en andere grote bedrijven. Het gaat in dit geval om waardevolle zoekresultaten. Voor sommige van deze zoekwoorden wordt zo'n 1 dollar per click betaald en bedrijven geven maandelijks grote bedragen uit om als advertenties bij deze zoekwoordente verschijnen. Anthony wist door de kwetsbaarheid dit zonder kosten te doen.
Het bleek mogelijk te zijn voor een aanvaller om bij Google een XML-sitemap in te dienen voor een website waarvoor hij niet geauthenticeerd was. Door middel van hreflang-tags in dit bestand en redirects op de website van het slachtoffer was het mogelijk om de zoekresultaten te manipuleren en verkeer naar de malafide site te leiden. Google maakt van hreflang-tags gebruik om te kijken welk internationale versies van dezelfde webpagina bestaan.
Voor zijn aanval maakte Anthony een zogenaamde sitemap aan die werd gehost op het domein "evil.com", maar alleen url's voor het domein "victim.com" bevatte. Deze url's bevatten weer hreflag-vermeldingen voor een gelijkwaardige url op evil.com, die zich voordeed als de Amerikaanse versie van victim.com. Vervolgens maakte Anthony gebruik van een open redirect url op victim.com om de sitemap via Googles pingmechanisme aan te melden. Het is mogelijk om een sitemap via het bestand robots.txt op de webserver aan te melden of via een speciale ping-url. In dit laatste geval wordt het bestand door de Googlebot opgehaald en verschijnt dit niet in de Google Search Console van de website in kwestie.
Google werd op 23 september vorig jaar door Anthony over het probleem gewaarschuwd. De zoekgigant had echter moeite met het vinden van een oplossing. Uiteindelijk werd het probleem eind maart verholpen. Voor zijn werk kreeg Anthony een beloning van 1337 dollar. Een bedrag dat de onderzoeker aan de lage kant vindt, zo laat hij op Hacker News weten. Anthony krijgt bijval van allerlei anderen die vinden dat Google gezien de impact van deze kwetsbaarheid een hogere beloning had moeten uitkeren.
https://nl.wikipedia.org/wiki/Leet
https://nl.wikipedia.org/wiki/Leet
Goh. Beetje teveel voor woorden wat jij daar zegt.
https://nl.wikipedia.org/wiki/Leet
-slow claps- Wat een toeval dat het precies dat bedrag is! Man wat ben je goed!
https://nl.wikipedia.org/wiki/Leet
Mijn beloning was een boekenbon van een tientje!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Officer
36 - 40 uur
Als Security Officer zorg je dat het infrastructuur platform, de -broncode en de VECOZO werkplek van VECOZO zo min mogelijk kwetsbaarheden kennen. Dit doe je door kwetsbaarheden inzichtelijk te maken en op te lossen. Zo speel jij een cruciale rol in de beveiliging van al onze gegevens en bedrijfsmiddelen.
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.