利用涉及欺骗开发人员通过社会工程技术暴露存储库
安全研究人员通过利用GitHub页面构建过程来发现一种启动代码执行攻击的方法。
乔伦·弗兰肯(Joren Vrancken)获得了4,000美元的奖励指挥注射如最近的一个博客文章。
根据Vrancken的说法,安全问题存在于github页面,一种静态托管服务,能够从存储库中获取数据,通过构建过程运行代码,然后发布网站。beplay体育能用吗
执行代码的路径
为了简化该过程,GitHub页面支持Jekyll静态站点生成器。
jekyll设置存储在YAML配置文件中,该服务的某些方面是由GitHub自动化的,包括主题,其中GitHub将发出邮政请求并自动创建新提交以向源发出更改的新提交。
这些过程需要管理员特权,只能指定两个目录 - 分支和 /文档的根。但是,也可以在主题选择器URL中指定用户输入目录。
您可以选择一个任意目录以用作GITHUB页面源,然后运行GitHub作业工作流,其中包括jekyll的启动,静态文件部署和上传页面伪像。最终,此过程可以通过TAR命令触发有效负载,从而导致任意代码执行。
但是,攻击者已经拥有管理员特权,因此这不一定是一个巨大的问题。
Vrancken发现了将此工作流功能变成更严重的方法。如果攻击者希望访问私有回购中托管的代码,那么他们所需的只是URL和用户交互。
通过制作一个恶意URL,从第三方来源下载并执行脚本,攻击者可以使用网络钓鱼或其他社会工程学吸引管理员用户单击链接并遵循选择主题过程的策略 - 从而触发恶意有效负载并公开存储库。
攻击者只需要提供URL - 他们不需要GitHub帐户也不需要与目标存储库的任何联系。
“黑客盒式”
在7月27日通知Github的调查结果后,Vrancken在同一天收到了一项回应,并于8月2日到达确认,GitHub安全团队通过删除主题Choser功能解决了问题。
弗朗肯被授予github专业订阅以及4,000美元的漏洞供应。
研究人员评论说:“这绝对是我所做的更有趣的漏洞之一,因为它将多个特定于GitHub的功能与一些更传统的盒子式技术结合在一起。”“我全心全意地推荐GitHub Bug Bounty计划。”
GitHub产品安全工程总监JillMoné-Corallo告诉每日swbeplay2018官网ig:“对我们的Bug Bounty计划的每次提交都是使GitHub,我们的产品和客户更安全的机会。乔伦(Joren)的发现表明了他们对安全研究的热情,并吸引了像他们这样的研究人员,这是我们继续在虫子赏金计划中看到价值的原因。”
