波多野结衣按摩,在线观看亚洲视频,国产嫩草在线观看,91视频最新地址

首頁 娛樂 > 正文

簡訊:改名的風險!GitHub上數百萬個存儲庫可能被劫持


(資料圖片)

一項新的研究顯示,許多企業在重命名項目時,不知不覺地將其代碼庫的用戶暴露在重載劫持之下。

GitHub上數以百萬計的企業軟件存儲庫容易受到劫持,這是一種相對簡單的軟件供應鏈攻擊,攻擊者會將某個特定存儲庫的項目重定向到一個惡意的存儲庫。

Aqua Security的研究人員在本周的一份報告中說,這個問題與GitHub如何處理依賴關系有關,當GitHub用戶或組織更改項目名稱或將其所有權轉讓給另一個實體時,容易受到重新劫持。

改名的風險

為了避免破壞代碼的依賴性,GitHub在原 repo 名稱和新名稱之間建立了一個鏈接,因此所有依賴原 repo 的項目都會自動重定向到新更名的項目。然而,如果一個組織未能充分保護舊的用戶名,攻擊者可以簡單地重新使用它來創建一個原始倉庫的木馬版本,這樣任何依賴該存儲庫的項目將重新開始從該存儲庫下載。

Aqua公司的研究人員在本周的博客中說:當版本庫所有者改變他們的用戶名時,對于任何從舊版本庫下載依賴項的人來說,在舊名稱和新名稱之間會產生一個鏈接。然而,任何人都有可能創建舊的用戶名并破壞這個鏈接。

普遍性問題

Aqua發現了兩個問題:一是,GitHub上有數百萬個這樣的軟件庫,包括屬于谷歌和Lyft等公司的軟件庫;二是,攻擊者很容易找到這些軟件庫以及劫持它們的工具。其中一個工具是GHTorrent,這個工具對GitHub上的所有公共事件(如提交和請求)進行了幾乎完整的記錄。攻擊者可以使用GHTorrent來獲取組織之前使用的GitHub倉庫的名稱。然后他們可以用這個舊用戶名注冊存儲庫,并向任何使用該存儲庫的項目傳輸惡意軟件。

任何直接引用GitHub存儲庫的項目,如果存儲庫的所有者改變或刪除了他們存儲庫的用戶名,就會受到攻擊。

因此,組織不應假定他們的舊名稱不會被披露,而是要在GitHub上認領并保留他們的舊用戶名。同時企業可以通過掃描他們的代碼、存儲庫和關聯性的GitHub鏈接來減輕他們面臨的劫持威脅。

參考鏈接:https://www.darkreading.com/application-security/millions-of-repos-on-github-are-potentially-vulnerable-to-hijacking

關鍵詞:

最近更新

關于本站 管理團隊 版權申明 網站地圖 聯系合作 招聘信息

Copyright © 2005-2023 創投網 - www.extremexp.net All rights reserved
聯系我們:39 60 29 14 2@qq.com
皖ICP備2022009963號-3

主站蜘蛛池模板: 污动漫3d| 欧美乱妇高清无乱码在线观看| 久久国产欧美日韩精品| 欧美日韩视频| 干b视频在线观看| 玉蒲团3d| 正在播放pppd| 国产国产人免费人成免费视频| 美女脱了内裤打开腿让人桶网站o| 好妈妈5高清中字在线观看神马| 伊人影院在线播放| 波多野给衣一区二区三区| 日本h无羞动漫在线观看网站| 狠狠操夜夜操| 调教家政妇第38话无删减| 日本精品ova樱花动漫| 男人和女人做爽爽视频| 欧美性69式xxxx护士| 日本老头变态xxxx| 好男人什么影院| 国产卡一卡二卡3卡4乱码| 四虎影院国产| 黄瓜视频在线播放| 国产一级黄色录像| 2020国产在线| 精品女同一区二区三区免费站 | 亚洲人成人77777网站| 国产剧情精品在线观看| 波多野结衣在线免费电影| 天天色影网| 国产乱码精品一区二区三区四川人| 久久成人a毛片免费观看网站| 欧美人与动欧交视频| 国产精品久久福利网站| 一本色道久久88亚洲精品综合| 欧美成人免费在线观看| 欧美va天堂在线电影| www..com色| 风流小姨子| 3d动漫精品啪啪一区二区中| 嫩草影院免费观看|