聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Bhujel 发现可通过一个绕过更改该网站的CSS,从而诱骗用户登录至虚假页面。GitHub 使用开源JavaScript 显示引擎 MathJax 进行 LaTeX、MathML 和 AsciiMath进行标记。用户可通过MathJax 库在Markdown 中渲染或显示数学表达式。
Bhujel 发现,通过注入过滤且删除的恶意标记可绕过MathJax的HTML过滤,之后注入表单元素,欺骗GitHub 登录接口。他通过一种不同技术将问题告知GitHub,当GitHub 发现他的提交重复时,Bhujel 使用另外的技术使自己找到了该绕过。
Bhujel表示获得1万美元的奖励“非常高兴”,尽管最初将其定为低危级别而上报。
https://portswigger.net/daily-swig/login-spoofing-issue-in-github-nets-researcher-10k-bug-bounty-reward
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):一个值1万美元奖励的GitHub 登录欺骗漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论