Kerentanan Gitlab membolehkan kecurian sesi

Sekali lagi terdapat kerentanan di Internet. Hari ini giliran GitLab. Pakar keselamatan telah mengesan kerentanan yang membolehkan kecurian memulakan sesi kepada pengguna. Imperva adalah syarikat yang mengesan kecacatan keselamatan ini. Dan juga asal usul masalahnya.

Kelemahan dalam GitLab membolehkan pencurian sesi

Seperti yang mereka komen, masalahnya terletak pada token yang digunakan untuk menandakan sesi pengguna. ID yang mengenal pasti item ini terlalu pendek. Ini menyebabkan serangan kekerasan dilakukan dan ID yang sesuai dengan sesi pengguna dapat dijumpai dengan sangat cepat.

Kelemahan GitLab

Masalahnya adalah bahawa dalam kes GitLab maklumat ini tidak dimusnahkan, sesuatu yang berlaku dalam kebanyakan kes. Kerana jika seseorang berjaya mengenal pasti tanda pengguna, mereka boleh menjalankan semua jenis tindakan dengan akaun mereka. Selain memiliki akses kepada maklumat anda, anda boleh mengubah suai atau membuat pembelian yang tidak dikehendaki dengannya.

Telah mengulas bahawa kekerasan adalah salah satu cara yang mereka gunakan untuk mendapatkan maklumat ini dalam GitLab. Walaupun terdapat juga cara lain. Cara lain adalah dengan serangan Man-in-the-Middle, kerana token tidak luput. Suntikan kod juga akan digunakan dalam pangkalan data. Walaupun dalam serangan jenis ini perlu ada kecacatan keselamatan di pelayan. Dan ia seolah-olah tidak berlaku pada masa ini.

Syarikat telah bersedia untuk menyelesaikan masalah ini. Beberapa langkah pengesahan tanda telah ditambah. Tetapi pada masa ini tidak ada lagi berita. GitLab telah mengumumkan perubahan sepanjang bulan, jadi kami akan melihat apa yang berlaku.