GitHub重新劫持错误可能';允许攻击者接管其他用户';存储库
发布时间:2023-10-19 05:52:00 297
相关标签:
这个
其工作方式如下-
- 威胁参与者创建了一个与已退役存储库同名的存储库(如“repo”),该存储库由名为“victim”的用户拥有,但使用了不同的用户名(如“helper”)
- “helper”将“repo”的所有权转移到用户名为“攻击者”的第二个帐户
- 名称空间“victor/repo”现在由对手控制
换言之,这种攻击取决于GitHub只认为名称空间已失效的怪癖,即用户名和存储库名称的组合,从而允许不良行为者将存储库名称与任意用户名一起重用。
成功利用该漏洞可以有效地让攻击者推送中毒的存储库,使重命名的用户名面临成为供应链攻击受害者的风险。
文章来源: https://thehackernews.com/2022/10/github-repojacking-bug-couldve-allowed.html
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报