数据保护法规可被滥用于人肉 GitLab 用户和接管账户
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
漏洞猎人hx01 发现 GitLab 允许用户向 gdpr-request@gitlab.com 发送邮件,从而践行 GDPR 全里(访问/删除的权限),然而,GitLab 团队在删除该用户账户前并未提供安全问题(如出生日期);此外并不会认证收到的邮件,从而可导致攻击者在无需用户交互的情况下删除用户账户。
复现步骤
1、从可信 SMTP(如 Sendgrid),通过受害者的邮箱向 gdpr-request@gitlab.com 发送一封欺骗邮件
2、受害者将收到如下确认邮件
3、几天后,受害者账户将被删除
修复方案
需要增加第二种验证机制,如要求提供出生日期、Government ID 等。
影响
由于GitLab 在触发访问/删除权限前并未通过有效 ID 验证请求,因而违反 GDPR 法规(第15条),进而导致攻击者在无需用户交互的情况下删除用户。
更多详情可见:
https://hx01.me/Abusing_Data_Protection_Laws_For_D0xing_and_Account_Takeovers.pdf
推荐阅读
GitLab Elasticsearch 私密群组数据泄露 bug 值3000美元
Waydev 客户的GitHub 和 GitLab OAuth 令牌被盗,源代码遭访问
我发现了 GitLab 的一个 RCE 漏洞,获得奖金2万美元
参考链接
https://hackerone.com/reports/928255
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
数据保护法规可被滥用于人肉 GitLab 用户和接管账户相关推荐
- “知乎女神”诈骗被人肉,一场个人隐私权与网络监督权的博弈
近日,关于"知乎女神诈骗案"的消息吸引了众多网友的关注.在知乎网友集体举报后,疑似当事人童某又发布帖文,就自己的行为致歉,并称自己正准备和父母一起去公安局自首.并表示,对于诈骗的钱 ...
- 地方立法限制人肉搜索作用有限
人肉搜索的权利边界问题,从人肉搜索诞生之日起,就一直引发着广泛的争论.一方面,人肉搜索的确使得一些丑陋行为人被曝光于大庭广众之下,比较典型的如深圳海事局林嘉祥亵渎女孩事件,林的身份就是被网友通过人肉搜 ...
- 《电脑报》:中国“人肉搜索第一案”幕后之谜
飞鸽传书 2008年7月9日,北京市朝阳区人民法院.一起特殊的案件三审难断--原告缺席,双方律师各持己见,争执不下,法官唯有宣布择日再审. 随后,54名高级法官就此案件展开热烈讨论,但仍然难以决断.同 ...
- 卡巴斯基和Endtab.org开设新课程教授用户如何防范人肉搜索
从去年开始,我们的生活基本上都转移到了数字世界,因此,确保我们的数字空间的安全变得比以往任何时候都重要.认识到在线隐私的重要性导致了以隐私为中心的产品的增长,但仍然有许多人对个人数据的暴露可能导致的危 ...
- 从侵权看“人肉搜索”
从侵权看"人肉搜索" 最近两年,"人肉搜索"一词在互联网上频频出现,从"虐猫事件"开始,"铜须门"."周老虎& ...
- gdpr通用数据保护条例_关于通用数据保护法规(GDPR),您需要了解的15件事
gdpr通用数据保护条例 The General Data Protection Regulation (GDPR) comes into force on 25th May 2018. Design ...
- “人肉搜索”成网络暴力3大悬念?
核心提示:"人肉搜索"是指在互联网上,利用网友的参与来获得所需的信息.近几年,"人肉搜索"有蔓延成"网络暴力"的倾向-- "如果你 ...
- 被鱼刺扎一下就没了条手臂?这种“吃人肉”的细菌身边并不罕见
创伤弧菌,一种会"吃人肉"却鲜少人知的病原细菌. 它嗜盐如命,既能栖息在海里,亦能潜伏在美味海鲜之中. 诸如被鱼刺扎一下半条手臂就没了.小伙生吃海鲜死亡.海边游玩险些丧命等等骇人听 ...
- 从“人肉扩缩容”到云原生容量,90 后程序员的进化
很难想象,1992年出生的郑洋飞已经是云原生性能容量团队Leader.2018年双十一稳定性总负责人,2020年双11的副队长.连续6年双十一,不仅是他带领团队的练兵场,更能从中看到蚂蚁集团技术演进的 ...
最新文章
- neo4j-admin导入海量数据
- make xconfig 报‘ptrdiff_t’ does not name a type错误解决方法
- 创建自定义Maven原型
- 零空间,Markov‘s inequality, Chebyshev Chernoff Bound, Union Bound
- C# 中的可变参数方法(VarArgs)
- 转:.NET使用一般处理程序生成验证码!
- SQL Server XML格式化
- FB新应用可借助人工智能回答照片内容提问
- 构建自己的不可替代性
- xml笔记(马士兵)
- element-ui上传图片的使用upload
- 读取xlsx,根据模板图片批量添加文字生成相关图片,如证书,奖状,名片等
- 运动目标检测——研究现状
- 2008年中国网游产业发展六大趋势
- 每日excel学习之分类汇总和数据有效性
- 苏州驾考科目三考试攻略
- 骁龙695和骁龙750g哪个好
- 15 款精致mac应用
- 【金融项目】尚融宝项目(十一)
- Java 环境下使用 AES 加密的特殊问题处理
热门文章
- word2003怎么做目录与正文的连接
- ASP.NET中将数据输出到Excel
- yum提示Another app is currently holding the yum lock
- 企业发展步入“新两化” 用友优普助力中型企业商业创新
- struts ValueStack 详解
- [20170203]dg磁盘空间不足的处理.txt
- EXT ajax简单实例
- 一起谈.NET技术,ASP.NET2.0服务器控件之类型转换器
- 基于DOS的ipc$最详攻略。
- 简明java_简明 Java 错误处理机制