githubGitHub sistemindəki 5 boşluq dələduzlara başqa hesablara giriş əldə etməyə yardım edirdi.

IT-layihələrin hostinq səhifəsi GitHub-da bir dəfəyə beş boşluq aşkarlanaraq aradan qaldırılmışdır. Baxmayaraq ki, boşluqların hər biri ayrıca təhlükə doğurmurdu, onların birgə istifadəsi başqa hesablara giriş əldə etməyə kömək edirdi.

Bu boşluqlar rusiyalı haker Eqor Xomyakov tərəfindənn aşkarlanıb və  o, 4000 ABŞ dolları miqdarında mükafatlandırılıb. Bunun nəticəsində o, GitHub üzrə boşluqları xəbər verən mütəxəssislərin siyahısında mükəmməl liderə çevrilmişdir.

GitHub təhlükəsizlik üzrə bölməsinin mütəxəssisi Ben Teyvza (Ben Toews) yazdığı təşəkkür məktubunda: “Biz sevinir ki, kiçik boşluqları birləşdirərək onları bir exploitlə həll edə bildik. Əlbəttə, biz sizin əməyininizi və bacarığınızı yüksək qiymətləndiririk.”

Məlumdur ki, boşluqlardan biri OAuth protokolunun düzgün istifadə edilməməsində CookieStore sessiyasında tokeni saxlanılması zamanı baş vermişdir. Başqa bir boşluq Gist üçün OAuth kodunu avtomatik olaraq təsdiq edirdi. Xomyakovun tapdığı boşluöun biri krossdomen şəklini Gist-ə tətbiq etməyə imkan yaradırdı.

Siyahıda göstərilən boşluqlardan biri, redirect_uri avtorizasıyasını /../ köməyi ilə keçməyə imkan yaradırdı. Beşinci boşluq get-token üçün redirect_uri yoxlanışının olmamasından yaranmışdı.

Mənbə: securitylab.ru