其他
一个值1万美元奖励的GitHub 登录欺骗漏洞
编译:代码卫士
安全研究员 Saajan Bhujel 发现了欺骗GitHub 登录接口的方法,并借此获得1万美元的漏洞奖励金。
Bhujel 发现可通过一个绕过更改该网站的CSS,从而诱骗用户登录至虚假页面。GitHub 使用开源JavaScript 显示引擎 MathJax 进行 LaTeX、MathML 和 AsciiMath进行标记。用户可通过MathJax 库在Markdown 中渲染或显示数学表达式。
Bhujel 发现,通过注入过滤且删除的恶意标记可绕过MathJax的HTML过滤,之后注入表单元素,欺骗GitHub 登录接口。他通过一种不同技术将问题告知GitHub,当GitHub 发现他的提交重复时,Bhujel 使用另外的技术使自己找到了该绕过。
Bhujel表示获得1万美元的奖励“非常高兴”,尽管最初将其定为低危级别而上报。
GitHub 推出“安全实验室”和漏洞奖励计划,提升开源生态系统安全
五周年庆:GitHub 漏洞奖励计划扩大范围提高赏金
https://portswigger.net/daily-swig/login-spoofing-issue-in-github-nets-researcher-10k-bug-bounty-reward
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。