Gitlab-haavoittuvuus sallii istuntovarkaudet

Jälleen haavoittuvuus löytyy Internetistä. Tänään on GitLab vuoro. Suojausasiantuntijat ovat havainneet haavoittuvuuden, joka sallii käyttäjien varkauden aloitetuista istunnoista. Imperva on yritys, joka on havainnut tämän tietoturvavirheen. Ja myös ongelman alkuperä.

GitLabin haavoittuvuus sallii istuntovarkaudet

He kommentoivat ongelmaa siinä merkissä, jota käytetään käyttäjien istuntojen merkitsemiseen. Tämän kohteen tunnistava tunnus on liian lyhyt. Tämä aiheuttaa raa'an voiman hyökkäyksen ja käyttäjän istuntoa vastaava tunnus voidaan löytää erittäin nopeasti.

GitLab-haavoittuvuus

Ongelmana on, että GitLab- tapauksessa näitä tietoja ei tuhota, mikä tapahtuu useimmissa tapauksissa. Koska jos joku onnistuu tunnistamaan käyttäjän tunnuksen, hän voi suorittaa kaikenlaisia ​​toimia tilinsä kanssa. Sen lisäksi, että sinulla on pääsy tietoihisi, voit muokata sitä tai tehdä sen kanssa ei-toivottuja ostoksia.

On kommentoitu, että raa'at voimat ovat yksi tapoja, joita he käyttävät saadakseen nämä tiedot GitLabista. Vaikka on myös muita tapoja. Toinen tapa on Man-in-the-Middle-hyökkäys, koska rahakkeet eivät vanhene. Koodisyöttöä käytetään myös tietokantaan. Vaikka tämän tyyppisessä hyökkäyksessä palvelimissa on oltava tietoturvavirhe. Ja näyttää siltä, ​​että tällä hetkellä ei ole tilanne.

Yhtiö on pyrkinyt ratkaisemaan ongelman. Jotkut tunnuksen varmistustoimenpiteet on lisätty. Mutta tällä hetkellä ei ole enää uutisia. GitLab on ilmoittanut muutoksista koko kuukauden ajan, joten näemme mitä tapahtuu.