研究人員發(fā)現(xiàn)Akamai組態(tài)錯(cuò)誤配置漏洞有功，但獎(jiǎng)金是向該公司客戶陳情得到的

兩名研究人員Jacopo Tediosi、Francesco Mariani發(fā)現(xiàn)，Akamai在處理HTTP標(biāo)頭的錯(cuò)誤配置，有可能讓攻擊者得以利用任意內(nèi)容來(lái)毒化緩存。研究人員指出，這項(xiàng)弱點(diǎn)是結(jié)合了HTTP挾持與逐節(jié)點(diǎn)（hop-by-hop）標(biāo)題濫用手法，將影響使用Akamai服務(wù)的大多客戶，包含美國(guó)國(guó)防部、PayPal、Airbnb、微軟、蘋果等，攻擊者可利用這項(xiàng)漏洞隨意篡改受害公司的網(wǎng)站外觀及行為。

研究人員Jacopo Tediosi、Francesco Mariani為了對(duì)他們發(fā)現(xiàn)的漏洞進(jìn)行概念性驗(yàn)證，他們使用了PayPal域名架設(shè)新的緩存網(wǎng)頁(yè)，但經(jīng)過(guò)漏洞利用后，內(nèi)容被置換成Akamai另一家客戶電信企業(yè)Sky Mobile網(wǎng)站上的robots.txt。

這兩名研究人員首先于3月下旬通報(bào)Akamai，該公司于4月初著手修補(bǔ)。但不幸的是，該公司沒(méi)有打算提供報(bào)酬。于是，研究人員決定也向Akamai的客戶通報(bào)此事，結(jié)果他們從安全企業(yè)Whitejar、PayPal、Airbnb、凱悅飯店分別獲得5,000美元、25,200美元、14,875美元、4,000美元。

研究人員表示，雖然他們想到了變通的方法而沒(méi)有做白工，但因?yàn)锳kamai沒(méi)有漏洞懸賞制度，其他研究人員若是找到該公司系統(tǒng)的漏洞，很可能因?yàn)闊o(wú)法獲得報(bào)酬而不給通報(bào)，甚至將漏洞賣給黑市。