Gitlab güvenlik açığı oturum hırsızlığına izin verir

Yine internette bir güvenlik açığı bulunmaktadır. Bugün GitLab'ın sırası. Güvenlik uzmanları , başlatılan oturumların kullanıcılara çalınmasına izin veren bir güvenlik açığı algıladı. Imperva bu güvenlik açığını tespit eden şirkettir. Ve ayrıca sorunun kaynağı.

GitLab'daki güvenlik açığı oturum hırsızlığına izin verir

Yorum yaparken, sorun kullanıcıların oturumlarını işaretlemek için kullanılan jetonda yatmaktadır. Bu öğeyi tanımlayan kimlik çok kısa. Bu bir kaba kuvvet saldırısı yapılmasına neden olur ve kullanıcının oturumuna karşılık gelen kimlik çok hızlı bir şekilde bulunabilir.

GitLab güvenlik açığı

Sorun, GitLab durumunda bu bilgilerin yok edilmemesi, çoğu durumda olan bir şeydir. Çünkü birisi bir kullanıcının belirtecini belirlemeyi başarırsa, hesabıyla her türlü işlemi yapabilir. Bilgilerinize erişmenin yanı sıra, bilgileri değiştirebilir veya bu bilgilerle istenmeyen alışverişler yapabilirsiniz.

Kaba kuvvetin GitLab'da bu bilgiyi elde etmek için kullandıkları yollardan biri olduğu yorumlanmıştır. Her ne kadar başka yollar da olsa. Diğer bir yol ise jetonların süresi dolmadığı için Ortadaki Adam saldırısıdır. Veritabanında bir kod enjeksiyonu da kullanılacaktır. Bu tür saldırılarda sunucularda bir güvenlik açığı olması gerekir. Ve öyle görünüyor ki bu sefer durum böyle değil.

Şirket sorunu çözmek için çalışmaya başladı. Bazı jeton doğrulama önlemleri eklendi. Ama şu anda başka haber yok. GitLab ay boyunca değişiklikleri duyurdu, bu yüzden ne olacağını göreceğiz.