Компания Truffle Security опубликовала сценарии атак на несколько типовых приёмов работы с репозиториями на GitHub, позволяющие извлечь данные из удалённых репозиториев, у которых имеются публичные форки или которые были созданы как форки...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=61605

• Доступ к данным из удалённых и приватных репозиториев на Git...,Аноним, 11:14 , 25-Июл-24
  • Доступ к данным из удалённых и приватных репозиториев на Git...,анон, 11:22 , 25-Июл-24
  • Доступ к данным из удалённых и приватных репозиториев на Git...,IdeaFix, 11:23 , 25-Июл-24
    • Доступ к данным из удалённых и приватных репозиториев на Git...,Аноним, 11:32 , 25-Июл-24
      • Доступ к данным из удалённых и приватных репозиториев на Git...,nume, 11:51 , 25-Июл-24
      • Доступ к данным из удалённых и приватных репозиториев на Git...,Аноним, 16:09 , 25-Июл-24
        • Доступ к данным из удалённых и приватных репозиториев на Git...,Аноним, 23:09 , 26-Июл-24
• Доступ к данным из удалённых и приватных репозиториев на Git...,Аноним, 11:32 , 25-Июл-24
  • Доступ к данным из удалённых и приватных репозиториев на Git...,Аноним, 12:07 , 25-Июл-24
• Доступ к данным из удалённых и приватных репозиториев на Git...,pavlinux, 12:07 , 25-Июл-24
  • Доступ к данным из удалённых и приватных репозиториев на Git...,Аноним, 12:29 , 25-Июл-24
    • Доступ к данным из удалённых и приватных репозиториев на Git...,pavlinux, 12:40 , 25-Июл-24
      • Доступ к данным из удалённых и приватных репозиториев на Git...,pavlinux, 13:04 , 25-Июл-24
    • Доступ к данным из удалённых и приватных репозиториев на Git...,Аноним, 12:41 , 25-Июл-24
• Доступ к данным из удалённых и приватных репозиториев на Git...,pavlinux, 12:09 , 25-Июл-24
• Доступ к данным из удалённых и приватных репозиториев на Git...,Соль земли, 12:54 , 25-Июл-24
  • Доступ к данным из удалённых и приватных репозиториев на Git...,Аноним, 13:18 , 25-Июл-24
• Доступ к данным из удалённых и приватных репозиториев на Git...,Аноним, 13:04 , 25-Июл-24
• Доступ к данным из удалённых и приватных репозиториев на Git...,Аноним, 21:25 , 25-Июл-24
• Доступ к данным из удалённых и приватных репозиториев на Git...,Аноним, 23:15 , 25-Июл-24
  • Доступ к данным из удалённых и приватных репозиториев на Git...,Микхаэль, 00:27 , 26-Июл-24
• Доступ к данным из удалённых и приватных репозиториев на Git...,Аноним, 00:40 , 26-Июл-24
  • Доступ к данным из удалённых и приватных репозиториев на Git...,Аноним, 16:42 , 26-Июл-24
  • Доступ к данным из удалённых и приватных репозиториев на Git...,Электрон, 21:28 , 27-Июл-24
• Доступ к данным из удалённых и приватных репозиториев на Git...,Аноним, 12:34 , 26-Июл-24
  • Доступ к данным из удалённых и приватных репозиториев на Git...,Аноним, 16:44 , 26-Июл-24

Дагестанские ученые открыли дверь. Уже обсасывали эту новость, гитхаб уже давно добавил плашку "вы смотрите изменения в форке!! в апстриме таких правок нет!!"

Опять новость до конца не дочитал?

В апстринме этих АПИ коючей нет!

Ну а если серьезно, то не стоит тащить в "лабу с ключами" в гитхаб.

Не надо пользоваться гитхабом

Не надо пользоваться интернетом

Гитхаб самая популярная платформа. Хостишься на других - автоматически снижаешь количество потенциальных коммитеров. Если цель не работать, а скакать между хостингами - можно хоть в локальный гит класть.

Если цель не работать, а привлекать любых соблазнившизся коммитеров - тогда да.
В остальном всё с ног на голову: ценность не в коде, который ты собрался писать, а в чужой платформе, куда ты собрался все выкладывать.

Так вроде сама концепция Гита это и подразумевает.

Нет

>  позволяющие извлечь данные из удалённых репозиториев, у которых имеются публичные форки

Ну желаю им удачи извлечь что-то из 192.168.0.1

> Ну желаю им удачи извлечь что-то из 192.168.0.1

Халявный интернет из него довольно неплохо извлекается, если что :)

>> Ну желаю им удачи извлечь что-то из 192.168.0.1
> Халявный интернет из него довольно неплохо извлекается, если что :)

Давай подробнее, скрипты, сценарии, ссылки,  а то ж через /dev/astral  каждый может.

Внешний IPшник сейчас 85.140.171.130 - жду!

# netstat -tucln -p 
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      1725/dnsmasq        
udp        0      0 127.0.0.1:53            0.0.0.0:*                           1725/dnsmasq        
udp        0      0 224.0.0.251:5353        0.0.0.0:*                           3728/chrome       

> Внешний IPшник сейчас 85.140.171.130 - жду!

Обломись, lease time уже протух, ищи рядом  - 85.140.0.0/16

Прямо очень халявный — заплатил провайдеру и пользуешься.

>  позволяющие получить полный доступ ко всем репозиториям  на GitHub.

А, всë таки на житхаб, а не удалëнно?!  

Первый сценарий: делаем временные API ключи.
Второй сценарий: github должен добавить purge. Потому что удалённые коммиты даже остаются доступны по хэшу. Помогает только полный снос репозитория.

А вообще github не подходит для приватной разработки. И мне кажется, что и gitlab тоже не стоит наружу выставлять.

>Помогает только полный снос репозитория.

В том то и дело, что даже он не помогает.

Я только что проверил: заменённые коммиты многолетней давности - на месте. Если бы гитхаб чистил объекты без ссылок, то такого бы не было.

> Компания удалила репозиторий через который была утечка, но ключи по-прежнему остались доступны для извлечения через обращения по хэшу коммита в репозиториях с форками.

Если колбоса из бутерброда упала на пол и её успели поднять за 5 сек, то не считается что упала. Можно просто отряхнуть и вложить назад в бутер .. и подать клиенту на стол.

А еще можно было просто склонировать репозиторий до того как удалили.. и да, там оно волшебным образом не удалится, когда у оригинальном репозитории чтото там удалят.

ахтунг, я открыл новую уязвимость!

После удаления в апстриме, вас вежливо попросят следовать тому же принципу. Если вы не пойдёте на встречу, то вас будут судить. Только уже тролли))

Уязвимость с выложенными паролями бредовая какая-то.  Если нечаяно выложили логины/пароли, то их надо срочно менять, а не надеяться, что никто прочитать не успел.

Остальные "уязвимости" тоже уязвимости только в чьем-то воображении, кроме пожалуй доступа к приватной части репозитория, которая осталась закрытой после раскрытия другой части.

>Если нечаяно выложили логины/пароли, то их надо срочно менять, а не надеяться, что никто прочитать не успел.

А если кто-то в репозиторий по ошибке закоммитил секретную документацию, полученную от партнёров? Ждать, пока партнёр засудит, или всё же снести?

Очень даже реальный случай: с частного репозитория лилась потоком метаинформация типа "новый коммит + заголовок" на радость публике в канал Discord. В один прекрасный день один из коммитов был тестово-пентестовым. "Немного" раскрыл удавшуюся шалость в отношении auth сервера одной из дочерних компаний Microsoft. На самом деле много раскрыл, правда кипишь поднялся не по этой причине.

А тут же получается бывший публичный проект + непубличный форк + коммит = раскрытие информации. Коммиты либо 6-12 хексов запечатываются как build id или, как они показали, перебором. А все почему? Не проверяется принадлежность коммита к репозиторию ему создавшему, потому что объектное хранилище значит одно, а их ПО не утруждает себя ведением состояния и прав, и проверкой доступа.

Вы сами выложили данные на сервера гита, а теперь беспокоитесь, что они могу "утечь"?
Лол.
Ну так все проблемы гита из за - "би дезигн".
Зачем они эти обязательные форки оригинального репа, перед моим коммитом внедрили?
Теперь пожинают плоды.

Для оптимизации хранения же. Ты ещё скажи спасибо, что там глобальной дедупликации нет, что все репозитории не являются implicitly форком одного и того же репозитория и что любой файл нельзя получить просто по хэшу.