Google Images的缩略图服务最近栽了个跟头。一位安全研究员在图片URL后面随手敲了一串「../../../../../../../etc/passwd」,服务器乖乖交出了系统密码文件。

这个漏洞藏在谷歌的图像代理服务wsi.googleusercontent.com里。研究员Vinoth Kumar发现,当用户请求一张外部图片的缩略图时,谷歌会把原始URL编码后拼接到自己的路径里。问题就出在这个「拼接」上——原始URL里的../没被过滤干净,一路回溯就能摸到服务器根目录

谷歌的赏金计划给这串16个字符的Payload定了价:3134美元。Kumar在博客里说,「这不是什么高深技术,就是目录穿越的基本操作」。但基本操作捅到谷歌身上,照样能换钱。

漏洞3月报告,4月修复。谷歌没解释为什么一个存在了不知多久的经典漏洞,会被一个随手试Payload的人捡走。也许他们的安全团队也忘了,最简单的攻击往往最管用。