GitLab是一个基于网络的git存储库管理器,它允许开发人员跟踪和协作处理源代码和项目的开发,也允许用户使用自定义的域名来托管自己的内容和项目。
但该公司在2月5日发表的安全声明中称,当用户向其GitLab帐户添加自定义域名时,不会进行验证。这也就意味着在自定义域指向最近删除或未声明的GitLab存储库的短时间内内,该域可以被劫持。
被誉为EdOverflow的Edwin Foudil,是安全咨询公司Penultimate的创始人。他于2月1日提交了一份问题报告,列出了指向GitLab的易受攻击的自定义域的概念验证码。
GitLab将初始报告标记为信息性的,根据文档说明,它包含“有用的信息,但不保证立即采取行动或进行修复”。
由于GitLab允许为单个存储库指定无限数量的域,因此Foudil能够编写一个简短的脚本,使最初的代码变为“武器”,从而允许他大量攻击无限数量的域。
“在一分钟内,700个域名和子域名被攻击了,”Foudil接受采访时表示。不仅如此,任何被劫持的域名都无法创建一个带有该域的GitLab存储库。
“我设法找到了这一安全问题的实质原因,”Foudil说。“GitLab允许在他们之前对域进行批量监控,甚至指向了GitLab的IP地址。”
这些内容引起了GitLab公司的注意,并得到了证实。Foudil的报告于周三晚些时候公布,此时该公司已修复了这个漏洞。
Foudil还表示,这次攻击不仅限于他的脚本可以检测到的域名。在整个过程中,攻击域名就像搜刮数千个高级站点的域名一样简单。一旦域被接管,攻击者就可以在该域上提供他们想要的任何内容。比如,攻击者可以劫持一个子域来读取和设置其他基本名称的cookie。
Foudil称,“我甚至可以挖掘加密货币。”
GitLab安全总监Kathy Wang本周在电话中表示,该公司会对安全问题负责。她补充说,缺乏域名验证是“整个行业普遍存在的问题”。
目前,GitLab关闭了添加自定义域的功能,直到提供出补丁。该公司表示,预计本月底完成修复工作。
声明:本文来自云有料,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。