巴基斯坦白帽黑客學生獲谷歌2萬美元漏洞獎勵——發現了Gmail驗證過程中可致電子郵件賬戶被劫持的漏洞。

谷歌喜歡給新手程序員、白帽黑客和安全研究人員機會參與漏洞獎勵項目，來證明他們的技術和能力，已經是眾所周知的事實了。

谷歌Play、Chrome Web 商店或iTunes上現有或最新的應用、插件、軟件和操作系統，都是谷歌邀請全球研究人員挖掘漏洞的目標。作為回報，成功挖出漏洞者將會收獲一定獎勵。此類項目的核心宗旨，就是讓谷歌的應用和系統更加安全。

然而，具備谷歌漏洞獎勵項目(VRP)中選資格并非易事，所發現的漏洞必須落入以下列出的幾種分類里：

• 跨站腳本
• 跨站請求偽造
• 混合內容腳本
• 身份驗證或授權缺陷
• 服務器端代碼執行漏洞

只要漏洞被驗證有效，黑客最高可獲得2萬美元的谷歌獎勵。

艾哈邁德·麥哈塔布，Security Fuss 首席執行官，一名巴基斯坦學生，最近剛剛獲此獎勵。麥哈塔布發現了Gmail身份驗證方法中的缺陷。

谷歌漏洞獎勵計劃中艾哈邁德·麥哈塔布的文檔

如果某用戶擁有多個電子郵件地址，谷歌允許用戶關聯所有郵件地址，還允許主賬戶的郵件被轉發到從屬賬戶中。

麥哈塔布發現了谷歌切換和關聯郵件地址所采用的驗證繞過方法中存在的固有缺陷，該缺陷可導致郵件ID在以下情況發生時被劫持：

• 收件人SMTP離線
• 郵箱被收件人停用
• 收件人不存在或是無效電郵ID
• 收件人存在但已屏蔽了發件人

劫持過程如下：

攻擊者通過給谷歌發信來驗證某郵件地址所有權狀態。谷歌向該地址發送郵件進行確認。該郵件地址無法收取驗證郵件，于是，谷歌的郵件被發回給實際發件人，而這次，里面帶上了驗證碼。該驗證碼將被黑客利用，郵件地址的所有權被確認。

巴基斯坦黑客因報告安全漏洞獲此大額獎金也不是第一次了。之前，安全研究員拉法·俾路支就因報告Chrome和火狐瀏覽器關鍵漏洞而獲5千美元漏洞獎勵，還因曝光PayPal服務器任意指令執行漏洞而獲1萬美元。