gitlab漏洞系列-越权查看用户私有信息

gitlab漏洞系列-越权查看用户私有信息

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

背景
白帽小哥maruthi12在2019年的时候提交了这个漏洞: 可以在私人档案中查看star的项目。以我的个人资料为例:https://gitlab.com/maruthi-adithya，这是一个私人信息，我的帐户相关信息不应该被泄露。然而，https://gitlab.com/users/maruthi-adithya/starred.json确公开了star项目。

注:这个漏洞gitlab官方给了500美刀.

复现步骤
1.登录到Gitlab。点击设置选项。

2.勾选“不要在个人资料中显示与活动相关的个人信息”。

3.保存配置文件。

4.从私人窗口打开你的资料。它会说这是一个私人档案。然而，上述API暴露了star项目的信息。

影响
根据文档https://gitlab.com/help/user/profile/index.md#private-profile，star的项目应该被隐藏。然而，由于这个API，它被公开了。利用这一点，攻击者可以从私人配置文件中窃取敏感数据。

作者：richardo1o1

欢迎关注微信公众号 ：迪哥讲事