15-谈一谈github泄露1
需积分: 0 166 浏览量
2022-08-03
14:52:11
上传
评论
收藏 1.45MB PDF 举报
谈一谈github泄露—安全小课堂第十五期
安全小课堂第十五期
安全领域有一种无坚不摧叫做github在手,俺啥都不会照样轻松搞穿你的内网…本期我
们来聊一聊github泄露。
本期邀请到了来自唯品会安全专家先知晓狼、前百度和赶集网安全专家xsjswt '。今儿
还有京东安全的小伙伴一起参与讨论哟~
1
豌豆妹
git泄露漏洞是如何被引起的呢?
葫芦娃
据我了解,主要从两方面可引起git泄露漏洞:
1)git工具以或相关git项目托管平台自身缺陷问题,存在漏洞,可被恶意利用。例如
之前github被曝由于一个coder对Rails的mass-assignment(批量赋值)使用不当
造成可以被轻易的篡夺任何代码库的权限。但这种情况比较少,首先利用成本较高,
其次相关平台已相对成熟,可利用的漏洞较少。
2)企业内部开发、运维人员安全意识不足,将公司源代码提交到git项目托管平台
上,而且没有进行敏感字过滤,其中包含的大部分账号密码都以明文形式直接提交,
这是主要原因。这里就不多说了。
哆啦A梦
2016-06-24京东安全应急响应中心
评论0