Pinapayagan ng kahinaan ng Gitlab ang pagnanakaw ng session

Muli ang isang kahinaan ay matatagpuan sa Internet. Ngayon ay ang GitLab. Nakita ng mga eksperto sa seguridad ang isang kahinaan na nagbibigay-daan sa pagnanakaw ng mga nasimulan na sesyon sa mga gumagamit. Ang Imperva ay ang kumpanya na nakita ang kapintasan na ito ng seguridad. At din ang pinagmulan ng problema.

Ang pagiging maaasahan sa GitLab ay nagbibigay-daan sa pagnanakaw ng session

Tulad ng kanilang puna, ang problema ay namamalagi sa token na ginagamit upang markahan ang mga sesyon ng mga gumagamit. Ang ID na kinikilala ang item na ito ay masyadong maikli. Ito ay nagiging sanhi ng isang matapang na pag-atake ng puwersa na isinasagawa at ang ID na tumutugma sa sesyon ng gumagamit ay maaaring matagpuan nang napakabilis.

Kahinaan ng GitLab

Ang problema ay sa kaso ng GitLab ang impormasyong ito ay hindi nawasak, isang bagay na nangyayari sa karamihan ng mga kaso. Sapagkat kung ang isang tao ay namamahala upang makilala ang tanda ng isang gumagamit, maaari nilang isagawa ang lahat ng mga uri ng pagkilos sa kanilang account. Bilang karagdagan sa pagkakaroon ng pag-access sa iyong impormasyon, maaari mong baguhin ito o gumawa ng mga hindi kanais-nais na pagbili kasama nito.

Nagkomento na ang brute force ay isa sa mga paraan na ginagamit nila upang makuha ang impormasyong ito sa GitLab. Bagaman mayroon ding iba pang mga paraan. Ang isa pang paraan ay ang pag-atake ng Man-in-the-Middle, dahil hindi mawawala ang mga token. Ang isang code injection ay gagamitin din sa database. Bagaman sa ganitong uri ng pag-atake ay kailangang maging isang kapintasan ng seguridad sa mga server. At tila hindi ito ang oras sa oras na ito.

Ang kumpanya ay nagtakda upang gumana upang malutas ang problema. Ang ilang mga hakbang sa pagpapatunay ng token ay naidagdag. Ngunit sa ngayon ay wala pang balita. Inihayag ng GitLab ang mga pagbabago sa buong buwan, kaya makikita natin kung ano ang mangyayari.