Zraniteľnosť Gitlabu umožňuje krádež relácie

Na internete sa opäť nájde zraniteľnosť. Dnes je na rade GitLab. Odborníci na bezpečnosť zistili zraniteľnosť, ktorá používateľom umožňuje krádež začatých relácií. Imperva je spoločnosť, ktorá zistila túto bezpečnostnú chybu. A tiež pôvod problému.

Zraniteľnosť v GitLabe umožňuje krádež relácie

Ako komentujú, problém spočíva v tokene, ktorý sa používa na označenie relácií používateľov. ID, ktoré identifikuje túto položku, je príliš krátke. To spôsobuje, že sa vykoná útok hrubou silou a ID, ktoré zodpovedá relácii používateľa, sa dá nájsť veľmi rýchlo.

Zraniteľnosť GitLabu

Problém je v tom, že v prípade GitLab táto informácia nie je zničená, čo sa vo väčšine prípadov stáva. Pretože ak niekto dokáže identifikovať token používateľa, mohol pomocou svojho účtu vykonať všetky druhy akcií. Okrem toho, že máte prístup k svojim informáciám, môžete ich tiež upravovať alebo s nimi robiť nechcené nákupy.

Bolo poznamenané, že hrubá sila je jedným zo spôsobov, ktoré používajú na získanie týchto informácií v službe GitLab. Aj keď existujú aj iné spôsoby. Ďalším spôsobom je útok Man-in-the-Middle, pretože tokeny nekončia. V databáze by sa použila aj injekcia kódu. Aj keď pri tomto type útoku je potrebné mať na serveroch bezpečnostnú chybu. A zdá sa, že tentoraz tomu tak nie je.

Spoločnosť sa rozhodla pracovať na riešení problému. Boli pridané niektoré opatrenia na overenie tokenov. Ale momentálne nie sú žiadne ďalšie správy. GitLab ohlásil zmeny počas celého mesiaca, takže uvidíme, čo sa stane.