这个漏洞能换几杯星巴克?在线等,挺急的
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
我在搜素 GitHub 时,意外发现一个包含星巴克 Jumbcloud API 密钥的一个公开库。
公开库:https://github.com/xxxx/Project
文件:
https://github.com/xxxx/Project/blob/0d56bb910923da2fbee95971778923f734a25f68/getSystemUsers.go
Req.Header.Add (“x-api-key”,”xxxxx”)
该漏洞被评为严重等级,因为它可导致任何人在系统上执行命令、增加/删除能够访问内部系统的用户以及接管AWS 账户。
严重影响
漏洞猎人 Vinoth Kumar 发现了该漏洞并负责任地通过 HackerOne 漏洞奖励平台告知星巴克。
JumpCoud是被视作Azure AD 替代品的活动目录管理平台,它提供用户管理、web单点登录访问控制以及轻量级目录访问协议(LDAP) 服务。
10月17日,Kumar 将问题告知星巴克,近3周后星巴克回应称该漏洞展示了“重大信息泄漏”问题,因此可获得漏洞奖励。10月21日,Kumar 注意到该公开库已删除,而 API 密钥已被撤销。星巴克表示,需要“确保理解该问题的严重程序,并餐区所有正确的缓解措施”,因此回应速度比较缓慢。
够买几杯星巴克?
星巴克采取修复方案后,向 Kumar 支付了4000美元的奖励金,而这是星巴克规定的严重漏洞能够获得的最高奖励金。星巴克为多数漏洞支付的奖励金介于250美元至375美元之间。
自2016年推出漏洞奖励计划以来,星巴克共解决了834份漏洞报告提出的问题,其中369个漏洞是在近三个月内报告的。星巴克为此共颁发4万美元的奖励金。
今年星巴克收到的另外一个严重漏洞可被用于控制公司子域名。问题在于该子域名指向已被摒弃的一个Azure 云主机。星巴克为此颁发2000美元的奖励。
推荐阅读
看我如何在星巴克企业数据库找到影响百万用户的SQL注入漏洞并赢得最高赏金
奇安信代码安全实验室安全类岗位火热招聘~
原文链接
https://hackerone.com/reports/716292
https://www.bleepingcomputer.com/news/security/starbucks-devs-leave-api-key-in-github-public-repo/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
点个“在看”,bounty 多多~
这个漏洞能换几杯星巴克?在线等,挺急的相关推荐
- 在线点餐微信小程序插件 小程序一键接入肯德基麦当劳星巴克在线点餐
聚推客联盟-在线点餐插件 一.插件介绍 该插件已支持肯德基.麦当劳.星巴克.必胜客.奈雪在线点餐.用户享受最低5折起点餐,接入方享受 10% 点餐返现,返现由聚推客联盟结算. 二.添加插件 首先点击该 ...
- 一杯星巴克的时间,Python居然帮我完成了5个小时的工作量!
上周末,之前参加活动认识的朋友小晶突然找我约饭,她告诉我她想辞职了. 小晶在深圳一家电商公司做了2年的市场运营,为了更好的完成业绩,每天都赶着最后一班地铁回家. 虽然她才毕业2年,不过算上加班时长,我 ...
- “给阿姨倒杯卡布奇诺”广发卡分期积分带你免费畅饮星巴克!
"给阿姨倒杯卡布奇诺"广发卡分期积分带你免费畅饮星巴克! 如果你在星巴克服务台前,多停留一会,你会发现,人们点单最多的一般都是 拿铁和卡布奇诺.而其中,点拿铁大多数都为男性,而女性 ...
- 如何在星巴克点一杯好喝的咖啡
不知道你有没有耳闻,星巴克有一份神秘的隐藏菜单,它不在墙上也不在网上,就算有幸知道的小伙伴在中国可能也从未点单成功过.星巴克的隐藏菜单,的确存在,不过什么薄荷糖浆,奇奇怪怪的配料都是没有的,常规的只有 ...
- 星巴克产品哲学折射出的8个人性欲望
引子:这篇是我的「读书会」(可以回复「读书会」了解详情)第五周的一份优秀作业,当周的话题是关于需求的深挖,从观点.行为,到目的,到动机.价值观,徐同学是做品牌出身,看来是没少喝星巴克. 1971年成立 ...
- 双11肯德基星巴克在饿了么各卖出2亿元
11月12日消息,双11进入数据整理阶段,饿了么数据显示,11月1日至11月11日期间,肯德基.星巴克.麦当劳.华莱士这四家餐饮品牌交易额都成功突破亿元大关.其中,去年交易额破亿的肯德基和星巴克今年更 ...
- 数据分析:星巴克店铺分布有何规律?
人工智能大数据与深度学习 公众号: weic2c 在你的身边,星巴克的身影大概越来越多吧.据资料表明,从2011年到2015年,星巴克在华新开了超过1300家店,门店总数达到181 ...
- 到底谁才能击败星巴克?|【常垒·常识】
常垒·观点 我与K先生面见于上周三的一个下午.K先生目前专注于消费和零售的顾问,洞见深刻. 目前中国的零售消费(有品牌露出),具备产业升级的机会: 1. 各类VC投资了一堆SaaS,尽管营收不一定好, ...
- 天马行空,用星巴克指数分析长沙地产发展
毕竟学术上的各类指标枯燥无味,脑洞打开,作者自己动手制作一个星巴克指数分析长沙地产行情,趣味性多过准确性,读者朋友看完乐一乐即可. 关键字 星巴克指数 长沙 地产发展 长沙辖区 价值投资 序言 关于星 ...
最新文章
- jQuery中的closest()和parents()的差别
- wust 1599弗洛伊德
- mysql导出停机_MySQL自动停机的问题处理实战记录
- 科目三场外考试易出错的环节
- java指定存入arraylist值_Java高效打印出0000-9999之间所有的值存到arraylist集合中
- Web Storage 与cookies
- 使用树莓派开启HomeKit智能家居系统 篇一:树莓派系统安装与配置
- 鸿蒙安卓字体,鸿蒙中如何自定义字体文件
- 计算机考研数学考一还是二,考研我不知道自己考数一还是数学二
- 剑指offeⅤ(Java 持续更新...)
- python2代码转换python3(2018新)
- org.springframework.beans.factory.NoSuchBeanDefinitionException: No bean named 'dataSource' is defin
- 迪拜要破产 经济危机第二波来啦
- iOS项目中用到的一些第三方库
- iphone6装了卡却显示无服务器,苹果6通病——插卡无服务维修思路和教程
- vue 或 js 使用谷歌翻译实现国际化
- 排除计算机硬件故障,如何快速准确地排除电脑硬件故障
- 《TCP/IP 网络编程》笔记
- 一篇文章帮你了解LoRaWAN特性【转自微信公众号 智联网事】
- 大数据之Redis:悲观锁和乐观锁
热门文章
- 深入阅读Mina源码(3) —— Mina之IOAdapter(二)
- 如何发布第一个属于自己的npm包
- 如何针对业务设计架构?——QCon热点专题前瞻
- JAVA Metrics 度量工具使用介绍1
- 【spring】在servlet中注入spring的bean,servlet容器和spring容器
- python ---ConfigParser
- URAL 1664 Pipeline Transportation
- 判定浏览器是否支持原生透明
- 统计字符串中个字符的个数
- 蓄电池内阻测试仪分析软件,蓄电池内阻测试仪(GCBT-8610)