今年3月，我参加了一位谷歌软件工程师的采访。我没想到它会完全出乎意料。我在Google的应用程序服务中发现了一个漏洞，这成为我的第一个赏金漏洞。请仔细听我的。 入围谷歌最后一次采访 在Google决定雇用某人之前，必须进行两到三次面试。最后一个层面是，他们将支付候选人去公司进行现场面试。我很荣幸有资格参加最后的现场采访。在之前的电话交谈中，招聘人员只是向我提到他们正在使用名为Concur的第三方支付系统，以允许候选人预订机票，我经常可以在我最喜欢的播客计划Freakonomics中进行。我听到了一些Concur广告。要申请航班预订系统，您需要使用Google提供的用户名和密码，以及护照号码，性别，地址，紧急联系人等个人信息。 不相关的域名gcandidate.com Google向我发送了以这种形式登录Concur的用户名：[numbers] @ gcandidate.com，这很奇怪。 Gcandidate.com - 它是什么？浏览网站后，我发现它是一个空白页面。我想帐号名称中的@ gcandidate.com完全是骰子的装饰。它没有实际意义，但其帐户信息与我的电子邮件地址相关联。此外，域名gcandidate.com仍然是未注册的域名。 嗯.我认为这种方法有点奇怪，它不应该带来任何安全风险。此外，每天都有很多聪明人参加Google的采访。如果存在安全问题，我预计不会想到它。 遗憾的是我在最后的采访中输了。接下来，我在无聊的八月里什么也没做。我在考虑玩gnardidate.com。我不想注册，所以让我注册，也许当有人看到它时，我会在那里。设置一个恶作剧页面，但由于注册完成，我没有时间建立一个网站。 错误邮件 但是在两个月前的九月底，我突然收到一条错误信息发送给其他人（[号码] @ gcandidate.com）： 哦.谷歌一直在使用Concur的旅行费用系统。有人忘记了密码，并认为登录ID是他的Concur密码重置请求表单中的电子邮件地址。因此，Concur系统向他解释说不是这样，Concur系统回复了电子邮件并将其发送到我的邮箱。我认为这种混乱肯定会发生，我不能完全责怪那个人。 就在上周，我收到了来自谷歌Concur系统的另一封电子邮件，这有点令人讨厌，所以我重新审核了谷歌3月发给我的Concur电子邮件： Google使用Concur服务的默认密码漏洞 在查看我之前收到的电子邮件后，我怀疑Google招聘人员使用“fixed_prefix + number”的默认密码来创建帐户。默认密码基本上没用。如果候选人未更改默认密码，则登录候选人Concur页面所需的唯一信息是他们的帐号。甚至在我预订面试航班之前，我没有更改我的默认密码。我偶尔会记住帐户信息，但大多数时候，很多人忘记了Google分配给自己的密码，他们会将密码重置方法与注册Concur普通帐户的方式混淆。在这方面，我认为在这种情况下，谷歌的Concur系统应用程序方法有一个默认的密码漏洞，可以被暴力攻击（虽然它更难以使用）。 暴力破解测试 进一步分析，我发现Concur系统没有部署验证码机制来阻止一些暴力猜测登录，它无法监控gcandidate.com域发送的消息。一旦知道了默认密码，就可以使用VB语言编写GUI界面，尝试使用随机固定长度ID号组合帐户破解执行页面暴力，因为我希望Google的分配ID帐户应该是有序的。我没有暴力登录，这个测试可能会对Concur系统的官方网站本身产生影响。我当时并不知道Ecor的道德安全测试策略，所以我最终放弃了暴力测试，只是试图联系Concur安全团队，提醒他们需要添加验证码机制。从技术上讲，这本身并不是一个安全问题，但对于使用第三方系统Concur的Google来说，这会对其应用程序服务产生影响。 报告漏洞
最后，在向Google报告此漏洞后，Google的安全响应非常及时，他们立即与Concur合作修复了此漏洞。现在，谷歌已经在其名称中注册了域名gcandidate.com，所以我的恶作剧幻想也被毁了，但我这辈子有第一个赏金洞。 披露：在上面的暴力漏洞测试中，为了证明漏洞的存在，我只从候选者那里获得了Concur记录，并最终销毁并删除了数据。 文章发表后，我与Concur安全团队进行了对话，了解到Concur在Bugcrowd中有一个官方漏洞赏金计划。 漏洞报告流程 07/31/2017:注册了gcandidate.com域名 09/29/2017:通过我的邮箱第一次Concur登录密码重置请求 11/25/2017:通过我的邮箱再次发出Concur登录密码重置请求 11/27/2017在下午5点:发送漏洞报告 11/27/2017在下午6点:谷歌接收漏洞 11/28/2017:谷歌回复说“这应该是Concur的错误” 11/28/2017:向Google提供更多漏洞验证证据 11/28/2017:  Google承认此漏洞 11/28/2017:我通过Twitter与Concur联系并进行了沟通 12/05/2017:谷歌修复了这个漏洞，用500美元奖励了我，并以友好的方式向我询问了gcandidate.com域名管理权。 12/06/2017:为了回应我披露漏洞的请求，谷歌回复说它需要审查我的一些帖子。 12/06/2017:我将域名gcandidate.com转移到Google注册管理 12/20/2017: Concur的安全团队与我联系并声称在系统端实施安全性改进 *参考源：amproject，freebuf小编译云编译 黑客业务列表介绍和一般分类： 类别：攻击入侵破解开发 1：攻击业务订单：暂时取消所有此类业务订单[仅销售常规IDC流量] 2：入侵业务清单：包括网站源代码，办公系统，黑色系统，教育系统等。 3：破解业务类：软件，加密文件，二次打包，脱壳等。 4：二次开发业务清单：软件二次开发，源代码二次开发等 5：其他业务订单：特洛伊木马[通过所有防病毒]，远程控制，特殊软件等 备注：未提及的业务订单可根据主要类别查询或直接联系客户服务。为避免浪费双方时间，请在咨询前阅读：业务交易流程及相关说明 注意:仅接受正式业务，个人无权接受。收集此内容。