腾讯代码托管有严重安全漏洞,大家看看有没有代码泄露

2019-03-26 14:44:36 +08:00
 clarkxu

前两天在群里面爆了一个腾讯代码托管的漏洞,以前是 TGit,现在叫工蜂。昨晚验证了一下,真的很严重,各位有用工蜂的看一下自己的密码和代码还在不在。

现象如下,具体原理我没搞太清楚,应该是 XSS,任何访问 https://git.code.tencent.com/tencent/TencentGit/tree/ff01797bdbb681b2570e0b608812722117260e5f 都会出现以下界面

这是腾讯官方账号的公开页面,所有人都可以访问。因为我注册了一个工蜂新账号,所以里面啥也没有。我点击了那个按钮,我验证了一下我的密码确实被修改成了 12345678 …… 然后我想去修改密码页面再改回来

竟然修改密码是不需要验证原密码的,产品经理要下课了吧……

这个漏洞应该存在很久了,只是最近爆出来了,不知道有没有被恶意利用过。理论上只要是登录用户,访问工蜂的公开页面都有可能在不知不觉中被修改密码,等于用户名密码都泄露了,个人信息,代码也就泄露了。各位查下一把。

5686 次点击
所在节点    全球工单系统
26 条回复
Kevin20190000
2019-03-26 15:00:15 +08:00
不知道腾讯还有这个代码托管系统。。。
InnerPeace715
2019-03-26 15:55:55 +08:00
刚看了一眼,link 已经被删掉了,现在是啥意思?要改密码吗?
Liviaaaaa
2019-03-26 16:01:21 +08:00
这个是腾讯云那个吗,果然不靠谱
lamian233
2019-03-26 16:06:21 +08:00
前一阵子不是阿里云也出事了吗?大厂都不靠谱啊!
luzemin
2019-03-26 16:18:33 +08:00
github:不是我吹,再做的都是垃圾
zhlmmc
2019-03-26 16:40:48 +08:00
引以为鉴,做公有云不容易
leemink
2019-03-26 16:44:46 +08:00
感觉 V2EX 上黑腾讯就是政治正确,呵呵
jack230230
2019-03-26 16:45:22 +08:00
@Kevin20190000 基于 GitLab 搞的,继承了对应的 Bug
https://gitlab.com/gitlab-org/gitlab-ce/issues/30527 这个 GitLab 的 Bug 工蜂没修貌似,N 久了。
jayz123
2019-03-26 17:03:30 +08:00
@jack230230 如果是这样的话,自己搭建的 gitlab 老版本也有这个问题?
snowxxx
2019-03-26 17:19:39 +08:00
这是恶作剧啊,不过看起来问题很严重,系统安全性太差
jack230230
2019-03-26 17:38:37 +08:00
@jayz123 你可以看下那个链接的情况,私有部署的话,内部没人恶意也还 ok,公有云总是会有人恶意窃取信息的,因为有黑产啊,而且他这个这么久了,不知道啥情况。
luajava000
2019-03-26 18:02:20 +08:00
测试了一下,问题已经修复了。
Bazingawang
2019-03-26 19:40:06 +08:00
@Liviaaaaa 您好,腾讯云开发者平台的服务不受影响的,您可以放心使用。
xulei888
2019-03-26 19:42:51 +08:00
@InnerPeace715 那个链接还是可以打开,但是页面显示正常。之前我用腾讯云账号登陆过工蜂,如果密码会被修改的话,跟腾讯云账号密码有关系吗?
bigfish911
2019-03-26 19:57:20 +08:00
@luajava000 怎么测试的?是植入的 xss 嘛?
yanjingg
2019-03-26 20:09:55 +08:00
Bitbucket 还可以,自己用用。公司还在用 svn ……
InnerPeace715
2019-03-26 20:21:07 +08:00
@xulei888 老哥我也不知道啊。。。还好里面没放啥东西
superchina
2019-03-26 20:21:18 +08:00
有人来解释一下这个怎么做到的吗?网页已经打不开了
clarkxu
2019-03-26 22:58:33 +08:00
@xulei888 我的理解是跟腾讯云账号没有关系,我用微信登录的,不可能把微信密码改了吧?
clarkxu
2019-03-26 23:00:39 +08:00
@superchina 楼上有人回复了 gitlab 那个漏洞。通过 submodule 推送 JS 代码到仓库中,文件名就是 JS 代码,页面在渲染的时候会执行。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/548726

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX