Уязвимостта на Gitlab позволява кражба на сесия

Отново се открива уязвимост в Интернет. Днес е ред на GitLab. Експертите по сигурността откриха уязвимост, която позволява кражба на стартирани сесии на потребителите. Imperva е компанията, която откри този недостатък в сигурността. А също и произхода на проблема.

Уязвимостта в GitLab позволява кражба на сесия

Докато те коментират, проблемът се крие в маркера, който се използва за маркиране на сесиите на потребителите. Идентификационният номер, който идентифицира този елемент, е твърде кратък. Това води до атака с груба сила и идентификацията, която съответства на сесията на потребителя, може да бъде намерена много бързо.

Уязвимост на GitLab

Проблемът е, че в случай на GitLab тази информация не се унищожава, нещо, което се случва в повечето случаи. Защото ако някой успее да идентифицира маркера на потребителя, той може да извърши всякакви действия с акаунта си. Освен че имате достъп до вашата информация, можете да я променяте или да правите нежелани покупки с нея.

Беше коментирано, че грубата сила е един от начините, по които те използват за получаване на тази информация в GitLab. Въпреки че има и други начини. Друг начин е с атака „Човек в средата“, тъй като символите не изтичат. В базата данни ще се използва и инжектиране на код. Въпреки че при този тип атака трябва да има пропуск в сигурността на сървърите. И изглежда, че този път не е така.

Компанията се е заела да работи за решаване на проблема. Добавени са някои мерки за проверка на маркери. Но в момента няма повече новини. GitLab обявява промени през целия месец, така че ще видим какво ще се случи.