Facebook授予最高的Bug赏金迄今为止迄今为止昨天举行巴西安全工程师雷纳尔多席尔瓦。
奖励,估计总额为33,500美元,以披露XML外部实体在其服务器上托管的PHP页面中的漏洞。
“xxes.非常好,“Silva,谁专注于Web应用程序安全性,他的博客写道。“它们允许您读取文件系统上的任何文件,进行任意网络连接,只需踢踢,您也可以将亿令人兴奋的服务器播放。”
Silva在11月发现了漏洞,并在发现后不久与Facebook开始披露过程。
但是,当Silva首次发现他想要等待披露Facebook的错误,直到他生成完整的远程代码(RCE)错误。
这些类型的漏洞可能导致恶意软件感染,因此有更高的支付。尽管如此,Silva向Facebook报告了错误,并决定尝试将其升级到RCE。然而,当他在快速休息后返回后,错误已经修补了。
“我留下了非常深刻的印象,同时失望,”Silva在他的博客中写道。“B.ut since I knew just how I would escalate that attack to a Remote Code Execution bug, I decided to tell the security team what I’d do to escalate my access and trust them to be honest when they tested to see if the attack I had in my mind worked or not.”
Facebook确认了漏洞作为其声明中的潜在RCE错误昨天博客。
“我们进一步讨论了此事,”该声明说。“由于他理论涉及行政特征的有效方案,我们计划尽快贬值,我们决定将问题重新分类为潜在的RCE错误。”
祝贺席尔瓦做正确的事情并适当地披露这一点。毋庸置疑,任何Blackhat都会流出机会,有机会获得超过10亿用户的社交媒体巨头。
有关Silva的更多详细信息以及他对此错误的工作,您可以查看他的写上去。
_________________________________________________________________
约书亚加拿他尔是Malwarebytes的恶意软件智能分析师,他对当前恶意软件威胁进行了必威平台APP研究和深入分析。跟着他在推特上@joshcannell.
评论