返回

GitHub重新劫持错误可能'允许攻击者接管其他用户'存储库

发布时间:2023-10-19 05:52:00 297
GitHub Repojacking Bug

 

这个

 

GitHub Repojacking Bug

 

其工作方式如下-

  • 威胁参与者创建了一个与已退役存储库同名的存储库(如“repo”),该存储库由名为“victim”的用户拥有,但使用了不同的用户名(如“helper”)
  • “helper”将“repo”的所有权转移到用户名为“攻击者”的第二个帐户
  •  
  • 名称空间“victor/repo”现在由对手控制
 

换言之,这种攻击取决于GitHub只认为名称空间已失效的怪癖,即用户名和存储库名称的组合,从而允许不良行为者将存储库名称与任意用户名一起重用。

GitHub Repojacking Bug

成功利用该漏洞可以有效地让攻击者推送中毒的存储库,使重命名的用户名面临成为供应链攻击受害者的风险。

 

 

特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线