Gitlab भेद्यता सत्र चोरी की अनुमति देता है

फिर से एक भेद्यता इंटरनेट पर पाई जाती है। आज गीताबला की बारी है। सुरक्षा विशेषज्ञों ने एक भेद्यता का पता लगाया है जो उपयोगकर्ताओं को शुरू किए गए सत्रों की चोरी की अनुमति देता है । Imperva वह कंपनी है जिसने इस सुरक्षा दोष का पता लगाया है। और समस्या की उत्पत्ति भी।

GitLab में कमजोरता सत्र चोरी की अनुमति देता है

जैसा कि वे टिप्पणी करते हैं, समस्या टोकन में है जिसका उपयोग उपयोगकर्ताओं के सत्रों को चिह्नित करने के लिए किया जाता है । इस आइटम की पहचान करने वाली आईडी बहुत कम है । यह एक क्रूर बल हमले का कारण बनता है और आईडी जो उपयोगकर्ता के सत्र से मेल खाती है, बहुत जल्दी मिल सकती है।

GitLab भेद्यता

समस्या यह है कि गिटलैब के मामले में यह जानकारी नष्ट नहीं होती है, कुछ ऐसा जो ज्यादातर मामलों में होता है। क्योंकि यदि कोई उपयोगकर्ता टोकन की पहचान करने का प्रबंधन करता है, तो वे अपने खाते के साथ सभी प्रकार के कार्यों को अंजाम दे सकते हैं। आपकी जानकारी तक पहुंच के अलावा, आप इसे संशोधित कर सकते हैं या इसके साथ अवांछित खरीदारी कर सकते हैं।

यह टिप्पणी की गई है कि GitLab में इस जानकारी को प्राप्त करने के लिए ब्रूट बल उन तरीकों में से एक है जो वे उपयोग करते हैं। हालांकि इसके अन्य तरीके भी हैं। एक और तरीका एक मैन-इन-द-मिडिल हमले के साथ है, क्योंकि टोकन समाप्त नहीं होते हैं। डेटाबेस में एक कोड इंजेक्शन का भी उपयोग किया जाएगा। हालांकि इस प्रकार के हमले में सर्वरों में सुरक्षा दोष होना चाहिए। और ऐसा लगता है कि इस बार ऐसा नहीं है।

कंपनी ने समस्या को हल करने के लिए काम करने के लिए निर्धारित किया है । कुछ टोकन सत्यापन उपाय जोड़े गए हैं। लेकिन फिलहाल कोई और खबर नहीं है। गिटलैब ने पूरे महीने में बदलावों की घोषणा की है, इसलिए हम देखेंगे कि क्या होता है।