Ranjivost Gitlaba omogućava krađu sesije

Opet je ranjivost pronađena na Internetu. Danas je red na GitLabu. Stručnjaci za sigurnost otkrili su ranjivost koja korisnicima omogućuje krađu započetih sesija. Imperva je tvrtka koja je otkrila ove pogreške u sigurnosti. I također porijeklo problema.

Ranjivost u GitLabu omogućuje krađu sesije

Dok komentiraju, problem leži u tokenu koji se koristi za označavanje sesija korisnika. ID koji identificira ovu stavku prekratak je. To uzrokuje napad brute forceom i ID koji odgovara sesiji korisnika može se pronaći vrlo brzo.

Ranjivost GitLaba

Problem je što se u slučaju GitLaba ove informacije ne uništavaju, što se događa u većini slučajeva. Jer ako netko uspije identificirati token korisnika, mogao bi obavljati sve vrste radnji sa svojim računom. Osim što imate pristup vašim podacima, možete ih modificirati ili s njima kupovati neželjene kupovine.

Komentirano je da je gruba sila jedan od načina na koji se ovi podaci koriste u GitLabu. Iako postoje i drugi načini. Drugi način je s napadom Čovjek u sredini, jer žetone ne istječu. U bazi će se također koristiti injekcija koda. Iako u ovoj vrsti napada treba postojati sigurnosni propust na poslužiteljima. A čini se da ovoga puta to nije slučaj.

Tvrtka je započela raditi na rješavanju problema. Dodane su neke mjere provjere tokena. Ali trenutno više nema vijesti. GitLab je najavio promjene tijekom mjeseca, pa ćemo vidjeti što se događa.