Gitlab漏洞允许会话盗窃

在Internet上再次发现漏洞 。 今天轮到GitLab了 。 安全专家检测到一个漏洞，该漏洞使盗窃已启动的会话给用户 。 Imperva是检测到此安全漏洞的公司。 也是问题的根源。

GitLab中的漏洞允许会话盗窃

当他们发表评论时，问题出在用于标记用户会话的令牌中 。 标识此项目的ID 太短 。 这将导致进行暴力攻击 ，并且可以很快找到与用户会话相对应的ID。

GitLab漏洞

问题在于，在GitLab中，此信息不会被破坏 ，在大多数情况下会发生这种情况。 因为如果有人设法识别用户的令牌 ，他们可以使用其帐户执行各种操作。 除了可以访问您的信息之外，您还可以对其进行修改或进行不想要的购买 。

有人评论说， 蛮力是他们在GitLab中获取此信息的方式之一。 虽然也有其他方法。 另一种方法是使用中间人攻击 ，因为令牌不会过期。 数据库中也将使用代码注入 。 尽管在这种类型的攻击中，服务器中仍需要存在安全漏洞。 这次似乎并非如此。

该公司已着手解决问题 。 添加了一些令牌验证措施。 但是目前没有更多新闻了。 manbetx客户端打不开已经宣布了整个月的变化 ，所以我们会看到发生了什么。