其他
数据保护法规可被滥用于人肉 GitLab 用户和接管账户
编译:奇安信代码卫士团队
1、从可信 SMTP(如 Sendgrid),通过受害者的邮箱向 gdpr-request@gitlab.com 发送一封欺骗邮件
2、受害者将收到如下确认邮件
3、几天后,受害者账户将被删除
需要增加第二种验证机制,如要求提供出生日期、Government ID 等。
由于GitLab 在触发访问/删除权限前并未通过有效 ID 验证请求,因而违反 GDPR 法规(第15条),进而导致攻击者在无需用户交互的情况下删除用户。
更多详情可见:
https://hx01.me/Abusing_Data_Protection_Laws_For_D0xing_and_Account_Takeovers.pdf
Waydev 客户的GitHub 和 GitLab OAuth 令牌被盗,源代码遭访问
我发现了 GitLab 的一个 RCE 漏洞,获得奖金2万美元
https://hackerone.com/reports/928255
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。