A Gitlab sebezhetősége lehetővé teszi a munkamenet-lopást

Ismét sebezhetőséget talált az interneten. Ma van GitLab sor. A biztonsági szakértők olyan sebezhetőséget észleltek, amely lehetővé teszi a megkezdett munkamenetek lopását a felhasználók számára. Az Imperva az a vállalat, amely felfedezte ezt a biztonsági hibát. És a probléma eredete is.

A GitLab biztonsági rése lehetővé teszi a munkamenet-lopást

Amint kommentálják, a probléma abban a tokenben rejlik, amelyet a felhasználók munkameneteinek megjelölésére használnak. Az elem azonosító azonosítója túl rövid. Ez brutális erőszakos támadást hajt végre, és a felhasználó munkamenetének megfelelő azonosító nagyon gyorsan megtalálható.

GitLab sebezhetőség

A probléma az, hogy a GitLab esetében ezeket az információkat nem pusztítják el, ami a legtöbb esetben megtörténik. Mert ha valakinek sikerül azonosítania a felhasználói tokent, mindenféle műveletet végrehajthat a fiókjával. Amellett, hogy hozzáférhet az Ön adataihoz, módosíthatja azt, vagy nem kívánt vásárlást végezhet vele.

Megjegyezték, hogy a brutális erő az egyik módja annak, hogy ezeket az információkat megszerezzék a GitLab-ban. Bár vannak más módok is. Másik módszer a középső ember támadása, mivel a tokenek nem járnak le. Kódinjekciót is használnának az adatbázisban. Bár az ilyen típusú támadásoknál biztonsági hibára van szükség a szerverekben. És úgy tűnik, ezúttal nem ez a helyzet.

A vállalat arra törekedett, hogy megoldja a problémát. Néhány token-ellenőrző intézkedés került hozzáadásra. De jelenleg nincs több hír. A GitLab a hónap során változásokat jelentett be, így látni fogjuk, mi történik.