聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

开发者站点 Stack Overflow 公开了可追溯至2019年5月的安全事件详情，发现入侵系统的一名黑客广泛利用 Stack Overflow 本身判断如何执行下一步。

当时，Stack Overflow 报道称一名越权用户登陆其开发系统并将权限提升至 stackoverflow.com 的生产环境。该站点的源代码以及184名用户的 IP 地址和邮件地址被盗，不过包含该站点内容及其客户的数据库并未受影响。

Stack Overflow 架构团队的首席开发人员 Dean Ward 还报告了进一步的详情，似乎已“咨询过执法部门“。

该报告说明了这起攻击事件的时间线，它始于4月30日对 Stack Overflow 基础设施的侦查。从报告来看，源代码似乎是一个特定目标，因为攻击者起初伪装成客户要求获取源代码副本，“开展审计”但并未成功。报告指出，“这一请求被拒绝，因为我们不会给出源代码，而且从邮件来看并非源自客户。”

虽然开头不顺，但几天后攻击者使用一个构造的登录请求绕过访问控制，成功登录到 StackOverflow 的开发环境，之后成功提权。他们后续访问了 TeamCity即 JetBrains 持续集成产品。

Ward 指出，“角色分配不当意味着用户立即获得 build 服务器的管理员权限”。TeamCity 是如何运作的？“攻击者显然不是太了解该产品，因此花时间在 Stack Overflow 上提问如何使用并配置”。

攻击者使用为 TeamCity 配置的访问权限克隆了 GitHub 企业版上托管的多个仓库。Stack Overflow 指出，“他们继续浏览 Stack Overflow 关于在 IIS 下如何构建和运行 .NET 应用程序的详情以及在Azure 环境下运行 SQL 脚本的详情”。

在一个重要步骤中，攻击者写了一些 SQL，提升在整个 Stack Exchange 网络中的权限，且“经过多次尝试后，构造了一个 build，将其作为针对包含 Stack Exchange Network 数据的生产数据库的 SQL 迁移执行“。

Stack Overflow社区注意到一名新用户的权限广泛，于是报告给安全团队。Stack Overflow 安全团队采取了更加激进的方法，使 Team City 脱机并删除了权限和凭据。然而，由于丢失了一些东西，“攻击者再次拉取了源代码“；在查看关于如何构建 .NET 应用程序的问题时却被告知”如何删除 GitLab 上的仓库“信息。该基础设施再次被锁定，而”攻击者继续查看问答板块，这次是围绕 SQL 和证书的问题“，这是攻击者最后的操作。

尽管这起事件对 StackOverflow 站点的影响以及被盗数据量较小，但确实该站点的很多源代码被盗，尽管其价值有待商榷。

这起事件不仅说明了恶意人员可能也会使用 Stack Overflow，而且还说明开发和构建进程可能是 IT 系统中的一个弱点。

开发人员可能具有对生产环境的较高访问权限，而且即使没有这么高的权限，但损坏 build 进程也可创建后门，继而被部署到生产环境中。

左中括号

源代码中的 Twitter API 密钥

左中括号

报告指出，Stack Overflow 会解决安全问题，“机密信息出现在源控制中，以明文形式出现在build 系统并可通过应用程序中的设置屏幕可获取。“

Stack Overflow 公司还为build和源控制系统设置了防火墙保护，增加了关于提权的指标和警告，并且拦截了在系统中查看账户恢复邮件的能力。

尽管不要在源代码中泄露机密信息看似容易，但实际上开发人员有时候难以避免。Stack Overflow 和推特的集成被禁用，原因是 Twitter API 密钥存在于源代码中，开发人员未找到其它解决方案。Ward 指出，“我们认为该功能对于付出的努力而言不够重要“。

Stack Overflow 的后续计划包括通过新的 VPN 强制部署双因素认证机制、构建运行时机密存储并分离构建和部署。尽管它和持续集成的趋势不符，但它将使“我们拥有确定的 build 并更好地管理部署权限“。

类似的安全事件还有多少？

攻击者是谁？“由于调查正在进行，恕我们无法就其它攻击详情进行评论“ Stack Overflow表示。当这起事件被发现时，StackExchange 聊天中进行了记录，而且其中包含该用户的名字（名字有可能是伪造的）。

推荐阅读

我摸鱼写的Java片段意外称霸Stack Overflow十年、征服6000多GitHub开源项目: 有bug！

全球最大的编程主题问答网站 Stack Overflow 生产系统遭黑客访问，详情不明

原文链接

https://www.theregister.com/2021/01/27/stack_overflow_2019_hack_was/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~