gitlab漏洞系列-Analytics泄露

admin 2022年4月22日00:44:53评论62 views字数 442阅读1分28秒阅读模式

gitlab漏洞系列-Analytics泄露

声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。

背景

ashish_r_padelkar于2020年12月份提交的这个漏洞: 当您将公共项目中的分析(Analytics)设置为“仅项目成员”时,非成员不应看到分析页面。然而,如果他们直接访问Analytics url,他们仍然可以看到页面。

复现步骤

1.创建公共项目并将“分析( Analytics)”设置为“仅项目成员可看(Only Project Members)”。

2.以非成员身份登录并导航到此公共项目。不出意外,你不会看到分析选项。

3.现在使用这些直接url,你将能够看到分析:

/-/graphs/master/charts
insights/#/issues
-/analytics/code_reviews


原文始发于微信公众号(迪哥讲事):gitlab漏洞系列-Analytics泄露

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月22日00:44:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   gitlab漏洞系列-Analytics泄露http://cn-sec.com/archives/931076.html

发表评论

匿名网友 填写信息