谷歌奖励发现安全漏洞的学生高达 10,000 美元

一名高中生发现了一个可被黑客用来访问和窃取机密数据的安全漏洞，谷歌向他奖励了 10,000 美元。

谷歌向任何发现并向公司报告安全漏洞的人提供巨额奖励。

据 Neowin 报道，乌拉圭用户埃泽奎尔·佩雷拉 (Ezequiel Pereira) 在一篇博客文章中解释道，有一天他闲来无事，发现了谷歌的一个漏洞。具体来说，佩雷拉尝试使用 Burp（一款用于测试 Web 应用程序安全性的工具）更改发送到谷歌应用引擎 (Google App Engine) 服务器的请求中的 Host 标头。

佩雷拉的大多数尝试都失败了，主要是因为“404：未找到”消息或谷歌正在检查他是否使用了谷歌账户。然而，当这名学生尝试访问另一个网站时，却发现所有安全措施都失效了。该网站将佩雷拉重定向到与谷歌服务和基础设施相关的多个版块。

深入挖掘后，佩雷拉发现了一个名为“Google Confidential”（谷歌机密）的版块。发现后，佩雷拉立即向谷歌报告了这个问题。几个小时后，他收到了谷歌的回复，确认了该漏洞的存在。谷歌在给佩雷拉的通知中表示，该网站包含一些关于谷歌服务器的技术信息，但并不真正重要。

然而几周后，佩雷拉收到了一份报告，表明他的发现非常重要，当时谷歌通知佩雷拉，他将通过漏洞奖励计划（VRP）获得 10,000 美元作为安全报告的奖励。

佩雷拉很高兴地确认谷歌已经修复了这个问题，这帮助该公司发现了允许攻击者访问敏感数据的漏洞。

据TNO