聊聊GitHub“被黑”

聊聊GitHub“被黑”

GitHub(github.com)是全球最出名的源码托管平台,码农们最常用的,包括我们。GitHub通过Git版本控制器进行管理,码农的社交模式颠覆了曾经的Google Code。

好,无聊的开头做完后……

3天前,知道创宇安全研究团队内部发了个GitHub被黑的文章,Egor Homakov这个22岁小伙在自己博客上写的:
homakov.blogspot.com/20
用了5个Bug进行了一次完美的入侵测试,当然这次并没把GitHub真的黑掉,而是曝光了GitHub的关键缺陷:可以控制任意目标用户的代码

Homakov激动坏了……

不过可惜,故事就这样结束了……

如果Homakov是渗透师,通过这个缺陷是可以“黑遍全球”的。不过成本比较高,因为这种攻击是一种被动式攻击,需要诱骗目标用户访问黑客准备的链接才可以成功。

然后,今天我看到陈皓已经发了篇总结出来了:《从“黑掉Github”学Web安全开发》,写的很清晰,码农很喜欢:)

我今天主要是聊聊这件事的一些延伸。

一. 可以黑遍全球

恩,标题党。

不过这个道理很浅显,假如Homakov真的是一名邪恶的渗透师,他通过社工+这个缺陷的结合,将全球流行的一些源码给控制了,并植入后门代码,之后就是滚雪球效应了,但凡使用这些源码的服务将一一沦陷,然后是用户沦陷……

Homakov发现的这个关键缺陷是5个Bug的结合,本身就是一个奇葩组合:这5个Bug缺一不可。怪不得Homakov会显得如此兴奋,换做是我也一样。但如果他真的是名邪恶的渗透师,待他真的黑遍全球的时候再来曝光,估计会兴奋到爆……

二. GitHub对待安全的态度

Homakov通过这个缺陷拿到GitHub给的$4000奖金,这个过程他只用了4小时。不过黑客们还是不以为然的,很多时候人品非常的关键……

在GitHub奖金榜上(bounty.github.com/),我看到Homakov排第一:

我把每个人的漏洞描述都过了遍,真心觉得赞(就连Cookie的一点点点小问题就给了100刀,而跳转漏洞给了500刀,极其鸡肋的XSS漏洞也给了200刀),对GitHub官方点个赞,虽然这个奖励相比之下太少了(和Google/Facebook等比,人家是土豪……)。

​黑客通过官方奖励现金(甚至是高额现金)的方式,是可以成为土豪的……

最后,GitHub“被黑”,这是一个非常可惜的故事。

----------------------------
余弦,黑客,来自知道创宇的懒人。
在微博、知乎、豆瓣、GitHub、我的博客(evilcos.me)等都可以找到“余弦”。
欢迎感兴趣的人收听我这个微信公众号:“lazy-thought”。

编辑于 2014-10-15

文章被以下专栏收录

    本懒号主要关注点:隐私(包括加密货币)、攻击、安全开发。从我们这,你至少可以知道当下黑客世界的另类视角。By 余弦@LanT34m