声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。
背景
白帽小哥scaramouche31于2021年11月份提交了这个漏洞: Gitlab在员工从私有项目中移除后不会删除webhook,这允许攻击者获得私有项目的数据更新,包括:
-
Push events -
Tag push events -
Comments -
Confidential comments -
Issues events -
Confidential issues events -
Merge request events -
Job events -
Pipeline events -
Wiki page events -
Deployment events -
Feature flag events -
Releases events
复现步骤
1.作为项目创建者,给一些员工设置维护者权限。
2.作为一个员工:跳转至 Settings -> Webhooks -> Create a webhook (你可以使用https://webhook.site)
3.以项目创建者将员工从项目中删除,注意: 提示中提到后面的相关问题和合并请求将不再分配给这个员工,但是没有说到webhook。
4.作为管理员,举个例子,为任何issue添加一些注释。
5.作为一名员工,webhook仍然会在每一个事件中启动,并泄露敏感信息。
影响
项目更新的细节被泄露
原文始发于微信公众号(迪哥讲事):gitlab漏洞系列-前员工越权查看项目更新
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论