gitlab漏洞系列-越權查看用戶私有信息

gitlab漏洞系列-越權查看用戶私有信息

聲明:文章中涉及的程序(方法)可能帶有攻擊性,僅供安全研究與教學之用,讀者將其信息做其他用途,由用戶承擔全部法律及連帶責任,文章作者不承擔任何法律及連帶責任。

背景
白帽小哥maruthi12在2019年的時候提交了這個漏洞: 可以在私人檔案中查看star的項目。以我的個人資料為例:https://gitlab.com/maruthi-adithya,這是一個私人信息,我的帳戶相關信息不應該被泄露。然而,https://gitlab.com/users/maruthi-adithya/starred.json確公開了star項目。

注:這個漏洞gitlab官方給了500美刀.

復現步驟
1.登錄到Gitlab。點擊設置選項。

2.勾選“不要在個人資料中顯示與活動相關的個人信息”。

3.保存配置文件。

4.從私人窗口打開你的資料。它會說這是一個私人檔案。然而,上述API暴露了star項目的信息。

影響
根據文檔https://gitlab.com/help/user/profile/index.md#private-profile,star的項目應該被隱藏。然而,由于這個API,它被公開了。利用這一點,攻擊者可以從私人配置文件中竊取敏感數據。


作者:richardo1o1


歡迎關注微信公眾號 :迪哥講事