Twitter存在高危漏洞 黑客能獲取Vine的全部源代碼

責(zé)任編輯:editor005

作者:E安全

2016-07-25 15:39:46

摘自:搜狐IT

Twitter存在高危漏洞,攻擊者能從服務(wù)器下載Vine(Vine是微軟公司開(kāi)發(fā)基于地理位置的SNS系統(tǒng))全部源代碼,此后Twitter花5分鐘時(shí)間修復(fù)了該漏洞。

7月25日訊Twitter存在高危漏洞,攻擊者能從服務(wù)器下載VineVine是微軟公司開(kāi)發(fā)基于地理位置的SNS系統(tǒng))全部源代碼,此后Twitter5分鐘時(shí)間修復(fù)了該漏洞。

安全研究員Avicoder發(fā)現(xiàn)這個(gè)漏洞,并于3月31日向Twitter反映情況。漏洞的核心在于Twitter員工使用不安全的Docker設(shè)置管理Vine的內(nèi)容。

  聯(lián)網(wǎng)Docker安裝泄露Vine源代碼

Docker是管理服務(wù)器鏡像、創(chuàng)建、輸送和管理應(yīng)用程序的開(kāi)放式平臺(tái)。Docker可用來(lái)配置筆記本電腦、虛擬機(jī)或云服務(wù)等的OS鏡像。

通常,由于Docker安裝處理的內(nèi)容敏感,因此Docker安裝不供開(kāi)放使用。Twitter的Docker安裝則允許Avicoder探測(cè)查看能發(fā)現(xiàn)的一切。

更糟的是,Twitter未運(yùn)行最新版的Docker(v2),而是用的舊API,v1。通過(guò)Docker API v1文檔網(wǎng)站,Avicoder嘗試所有能找到的命令發(fā)現(xiàn)可以執(zhí)行的操作。

Avicoder發(fā)現(xiàn)一系列命令可用,包括搜索和檢索Twitter Docker設(shè)置的內(nèi)容。

研究員從Twitter Vine服務(wù)器下載超過(guò)80 個(gè)Docker鏡像

Avicoder能從Twitter Docker安裝發(fā)現(xiàn)并下載超過(guò)80個(gè)服務(wù)器鏡像。

Avicoder使用本地Docker客戶端在筆記本電腦安裝數(shù)個(gè)這些OS鏡像后,他發(fā)現(xiàn)其中一個(gè)服務(wù)器鏡像包含Vine服務(wù)的全部源代碼。

Avicoder解釋道,“我能看到Vine的全部源代碼、API密鑰以及第三方密鑰和秘密數(shù)據(jù)。甚至運(yùn)行鏡像不需要任何參數(shù),我能在本地托管Vine的副本。”

Avicoder向Twitter報(bào)告了漏洞,5分鐘后,Docker安裝被安全保護(hù)。Twitter為Avicoder給予10,080美元的漏洞報(bào)告獎(jiǎng)金。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)