白帽黑客渗透苹果服务器赢得50,000美元奖励
几个安全研究人员声称,他们从苹果公司获得了50,000美元的奖励,奖励他们发现了一些严重的漏洞。
专注于应用程序安全性的印度Bug赏金猎人Harsh Jaiswal和Rahul Maini表示,他们是在一群研究人员的启发下发现了最近几个月的 55个漏洞的。其中包括公开源代码、iCloud帐户、仓库软件以及员工和客户应用程序的漏洞。
Jaiswal和Maini表示,他们的研究重点是运行由Lucee支持的内容管理系统(CMS)的苹果主机,一种专为开发Web应用程序而设计的开源脚本语言。
在分析过程中,发现暴露了Lucee管理面板的Apple主机,其中两台与Apple为员工提供的旅行门户相关。只有拥有有效凭证的用户才能访问该门户。
研究人员发现Lucee的配置错误,使他们无需经过身份验证即可访问文件,最终可以在Apple服务器上创建webshell并执行任意代码。他们设法进行了测试,而没有触发Apple的Web应用程序防火墙。
Jaiswal和Maini说,苹果在获悉这些漏洞后决定向他们奖励50,000美元的漏洞赏金,并采取了一些措施来防止此类攻击。同时,要求研究人员在其修复之前不要披露该问题。
赞 (0)