2023-06-26 16:14:53來源:FreeBuf.COM
(相關(guān)資料圖)
一項(xiàng)新的研究顯示,許多企業(yè)在重命名項(xiàng)目時(shí),不知不覺地將其代碼庫的用戶暴露在重載劫持之下。
GitHub上數(shù)以百萬計(jì)的企業(yè)軟件存儲庫容易受到劫持,這是一種相對簡單的軟件供應(yīng)鏈攻擊,攻擊者會將某個(gè)特定存儲庫的項(xiàng)目重定向到一個(gè)惡意的存儲庫。
Aqua Security的研究人員在本周的一份報(bào)告中說,這個(gè)問題與GitHub如何處理依賴關(guān)系有關(guān),當(dāng)GitHub用戶或組織更改項(xiàng)目名稱或?qū)⑵渌袡?quán)轉(zhuǎn)讓給另一個(gè)實(shí)體時(shí),容易受到重新劫持。
改名的風(fēng)險(xiǎn)為了避免破壞代碼的依賴性,GitHub在原 repo 名稱和新名稱之間建立了一個(gè)鏈接,因此所有依賴原 repo 的項(xiàng)目都會自動重定向到新更名的項(xiàng)目。然而,如果一個(gè)組織未能充分保護(hù)舊的用戶名,攻擊者可以簡單地重新使用它來創(chuàng)建一個(gè)原始倉庫的木馬版本,這樣任何依賴該存儲庫的項(xiàng)目將重新開始從該存儲庫下載。
Aqua公司的研究人員在本周的博客中說:當(dāng)版本庫所有者改變他們的用戶名時(shí),對于任何從舊版本庫下載依賴項(xiàng)的人來說,在舊名稱和新名稱之間會產(chǎn)生一個(gè)鏈接。然而,任何人都有可能創(chuàng)建舊的用戶名并破壞這個(gè)鏈接。
普遍性問題Aqua發(fā)現(xiàn)了兩個(gè)問題:一是,GitHub上有數(shù)百萬個(gè)這樣的軟件庫,包括屬于谷歌和Lyft等公司的軟件庫;二是,攻擊者很容易找到這些軟件庫以及劫持它們的工具。其中一個(gè)工具是GHTorrent,這個(gè)工具對GitHub上的所有公共事件(如提交和請求)進(jìn)行了幾乎完整的記錄。攻擊者可以使用GHTorrent來獲取組織之前使用的GitHub倉庫的名稱。然后他們可以用這個(gè)舊用戶名注冊存儲庫,并向任何使用該存儲庫的項(xiàng)目傳輸惡意軟件。
任何直接引用GitHub存儲庫的項(xiàng)目,如果存儲庫的所有者改變或刪除了他們存儲庫的用戶名,就會受到攻擊。
因此,組織不應(yīng)假定他們的舊名稱不會被披露,而是要在GitHub上認(rèn)領(lǐng)并保留他們的舊用戶名。同時(shí)企業(yè)可以通過掃描他們的代碼、存儲庫和關(guān)聯(lián)性的GitHub鏈接來減輕他們面臨的劫持威脅。
參考鏈接:https://www.darkreading.com/application-security/millions-of-repos-on-github-are-potentially-vulnerable-to-hijacking
關(guān)鍵詞:
一項(xiàng)新的研究顯示,許多企業(yè)在重命名項(xiàng)目時(shí),不知不覺地將其代碼庫的用
相信大家對水泥混凝土路面裂縫的處理與修復(fù),水泥混凝土路面裂縫處理方
智通財(cái)經(jīng)APP獲悉,有市場觀察人士預(yù)計(jì),今年下半年,美股市場一些消費(fèi)
2023年6月,是我國第22個(gè)“安全生產(chǎn)月”。黨中央高度重視安全生產(chǎn)工作
《我的幻想鄉(xiāng)》是一款由商星奕工作室開發(fā)制作的模擬經(jīng)營游戲新作,目前
一、碑林區(qū)公辦初中招生對象有碑林區(qū)戶籍或?qū)W籍的小學(xué)應(yīng)屆畢業(yè)生、隨遷
交易商品牌 產(chǎn)地交貨地最新報(bào)價(jià)液體重金屬捕捉劑 含量50%河南森蒂環(huán)保
1、宋遺民詩,由中國宋代入元代,而不肯仕元的宋代遺民之詩。2、。文章
出品|子彈財(cái)經(jīng)作者|左星月編輯|胡芳潔美編|邱添審核|頌文又一家互聯(lián)網(wǎng)
來為大家解答以上的問題。ism模型用什么軟件,ism模型這個(gè)很多人還不知
記者從司法部獲悉,根據(jù)《外國律師事務(wù)所駐華代表機(jī)構(gòu)管理?xiàng)l例》的規(guī)定
今天來介紹一下Chrome111+正式推出的CSS顏色混合函數(shù):color-mix()[1]
前言Spring是JavaEE編程領(lǐng)域的一款輕量級的開源框架,由被稱為“Spring
想象一個(gè)世界,機(jī)器可以執(zhí)行人類可以完成的任何任務(wù),從診斷疾病到創(chuàng)作
在數(shù)字時(shí)代的今天,網(wǎng)絡(luò)犯罪分子隨處可見,他們瞄準(zhǔn)并攻擊每一個(gè)易受攻