gitlab漏洞系列-越权查看用户私有信息
gitlab漏洞系列-越权查看用户私有信息
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。
背景
白帽小哥maruthi12在2019年的时候提交了这个漏洞: 可以在私人档案中查看star的项目。以我的个人资料为例:https://gitlab.com/maruthi-adithya,这是一个私人信息,我的帐户相关信息不应该被泄露。然而,https://gitlab.com/users/maruthi-adithya/starred.json确公开了star项目。
注:这个漏洞gitlab官方给了500美刀.
复现步骤
1.登录到Gitlab。点击设置选项。
2.勾选“不要在个人资料中显示与活动相关的个人信息”。
3.保存配置文件。
4.从私人窗口打开你的资料。它会说这是一个私人档案。然而,上述API暴露了star项目的信息。
影响
根据文档https://gitlab.com/help/user/profile/index.md#private-profile,star的项目应该被隐藏。然而,由于这个API,它被公开了。利用这一点,攻击者可以从私人配置文件中窃取敏感数据。
作者:richardo1o1
欢迎关注微信公众号 :迪哥讲事