Kontor

Gitlab-sårbarhet tillåter sessionstöld

Innehållsförteckning:

Anonim

Återigen finns en sårbarhet på Internet. Idag är GitLabs tur. Säkerhetsexperter har upptäckt en sårbarhet som tillåter stöld av startade sessioner till användare. Imperva är det företag som har upptäckt denna säkerhetsbrist. Och också problemets ursprung.

Sårbarhet i GitLab tillåter sessionstöld

När de kommenterar ligger problemet i tokenet som används för att markera användarnas sessioner. ID: et som identifierar detta objekt är för kort. Detta gör att ett brute force-attack utförs och ID som motsvarar användarens session kan hittas mycket snabbt.

GitLab-sårbarhet

Problemet är att när det gäller GitLab förstörs inte denna information, något som händer i de flesta fall. För om någon lyckas identifiera användarens symbol kan de utföra alla typer av åtgärder med sitt konto. Förutom att ha tillgång till din information kan du ändra den eller göra oönskade köp med den.

Det har kommenterats att brute force är ett av de sätt de använder för att få denna information i GitLab. Även om det finns andra sätt. Ett annat sätt är med en Man-in-the-Middle-attack, eftersom tokens inte går ut. En kodinjektion skulle också användas i databasen. Även om i denna typ av attack måste det finnas en säkerhetsfel i servrarna. Och det verkar inte vara fallet den här gången.

Företaget har arbetat för att lösa problemet. Vissa tokenverifieringsåtgärder har lagts till. Men för tillfället finns det inga fler nyheter. GitLab har meddelat förändringar under hela månaden, så vi får se vad som händer.

Kontor

Redaktörens val

Back to top button