14 подписчиков
😳 CFOR: Уязвимость GitHub
🛡 GitHub — популярная платформа для управления кодом, но не все задумываются о том, как она хранит данные. Одним из рисков является уязвимость CFOR (Cross Fork Object Reference), которая позволяет получить доступ к данным, которые должны быть скрыты или удалены.
🔍 Что такое CFOR? Это возможность получить доступ к данным из одного форка репозитория через другой, даже если исходный форк был удалён или является приватным. Похожая на IDOR (Insecure Direct Object Reference) уязвимость, позволяет злоумышленникам использовать хэши коммитов для доступа к данным.
📂 Три сценария уязвимости CFOR:
1. Доступ к данным из удалённых форков: Даже после удаления форка коммиты остаются доступными через исходный репозиторий при наличии хэша коммита.
2. Доступ к данным из удалённых репозиториев: При удалении репозитория, данные остаются доступными через существующие форки.
3. Доступ к данным из приватных репозиториев: При публикации приватного репозитория его данные могут остаться доступными в публичной версии, несмотря на приватные форки.
❓ Почему это возможно? GitHub хранит данные в сети репозиториев, где удаление репозитория или форка не приводит к физическому удалению данных, а лишь удаляет ссылки на них в интерфейсе. Таким образом, зная хэш коммита, можно получить прямой доступ к этим данным.
🔍 Как ищут хэши коммитов?
- Брутфорс: GitHub использует короткие SHA-1 хэши, которые можно подобрать.
- API событий: Публичный API GitHub может содержать хэши коммитов.
- Архивы событий: Сторонние сервисы архивируют события GitHub, где могут быть хэши.
💡Данные, закоммиченные в публичный репозиторий, могут остаться доступными навсегда. Надёжный способ защиты — регулярная ротация ключей.
#GitHub #Кибербезопасность #SecureTechTalks #CFOR #IDOR #ИнформационнаяБезопасность
1 минута
18 августа 2024