The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Доступ к данным из удалённых и приватных репозиториев на GitHub, имеющих форки"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Доступ к данным из удалённых и приватных репозиториев на GitHub, имеющих форки"  +/
Сообщение от opennews (??), 25-Июл-24, 11:14 
Компания Truffle Security опубликовала сценарии атак на несколько типовых приёмов работы с репозиториями на GitHub, позволяющие извлечь данные из удалённых репозиториев, у которых имеются публичные форки или которые были созданы как форки...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=61605

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Доступ к данным из удалённых и приватных репозиториев на Git..."  –3 +/
Сообщение от Аноним (1), 25-Июл-24, 11:14 
Дагестанские ученые открыли дверь. Уже обсасывали эту новость, гитхаб уже давно добавил плашку "вы смотрите изменения в форке!! в апстриме таких правок нет!!"
Ответить | Правка | Наверх | Cообщить модератору

2. "Доступ к данным из удалённых и приватных репозиториев на Git..."  +9 +/
Сообщение от анон (?), 25-Июл-24, 11:22 
Опять новость до конца не дочитал?
Ответить | Правка | Наверх | Cообщить модератору

3. "Доступ к данным из удалённых и приватных репозиториев на Git..."  +1 +/
Сообщение от IdeaFix (ok), 25-Июл-24, 11:23 
В апстринме этих АПИ коючей нет!


Ну а если серьезно, то не стоит тащить в "лабу с ключами" в гитхаб.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

5. "Доступ к данным из удалённых и приватных репозиториев на Git..."  +/
Сообщение от Аноним (5), 25-Июл-24, 11:32 
Не надо пользоваться гитхабом
Ответить | Правка | Наверх | Cообщить модератору

6. "Доступ к данным из удалённых и приватных репозиториев на Git..."  +2 +/
Сообщение от nume (ok), 25-Июл-24, 11:51 
Не надо пользоваться интернетом
Ответить | Правка | Наверх | Cообщить модератору

24. "Доступ к данным из удалённых и приватных репозиториев на Git..."  –2 +/
Сообщение от Аноним (24), 25-Июл-24, 16:09 
Гитхаб самая популярная платформа. Хостишься на других - автоматически снижаешь количество потенциальных коммитеров. Если цель не работать, а скакать между хостингами - можно хоть в локальный гит класть.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

35. "Доступ к данным из удалённых и приватных репозиториев на Git..."  +1 +/
Сообщение от Аноним (35), 26-Июл-24, 23:09 
Если цель не работать, а привлекать любых соблазнившизся коммитеров - тогда да.
В остальном всё с ног на голову: ценность не в коде, который ты собрался писать, а в чужой платформе, куда ты собрался все выкладывать.
Ответить | Правка | Наверх | Cообщить модератору

4. "Доступ к данным из удалённых и приватных репозиториев на Git..."  +1 +/
Сообщение от Аноним (5), 25-Июл-24, 11:32 
Так вроде сама концепция Гита это и подразумевает.
Ответить | Правка | Наверх | Cообщить модератору

7. "Доступ к данным из удалённых и приватных репозиториев на Git..."  +2 +/
Сообщение от Аноним (7), 25-Июл-24, 12:07 
Нет
Ответить | Правка | Наверх | Cообщить модератору

8. "Доступ к данным из удалённых и приватных репозиториев на Git..."  +3 +/
Сообщение от pavlinux (ok), 25-Июл-24, 12:07 
>  позволяющие извлечь данные из удалённых репозиториев, у которых имеются публичные форки

Ну желаю им удачи извлечь что-то из 192.168.0.1

Ответить | Правка | Наверх | Cообщить модератору

13. "Доступ к данным из удалённых и приватных репозиториев на Git..."  +2 +/
Сообщение от Аноним (-), 25-Июл-24, 12:29 
> Ну желаю им удачи извлечь что-то из 192.168.0.1

Халявный интернет из него довольно неплохо извлекается, если что :)

Ответить | Правка | Наверх | Cообщить модератору

15. "Доступ к данным из удалённых и приватных репозиториев на Git..."  +/
Сообщение от pavlinux (ok), 25-Июл-24, 12:40 
>> Ну желаю им удачи извлечь что-то из 192.168.0.1
> Халявный интернет из него довольно неплохо извлекается, если что :)

Давай подробнее, скрипты, сценарии, ссылки,  а то ж через /dev/astral  каждый может.

Внешний IPшник сейчас 85.140.171.130 - жду!


# netstat -tucln -p
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      1725/dnsmasq        
udp        0      0 127.0.0.1:53            0.0.0.0:*                           1725/dnsmasq        
udp        0      0 224.0.0.251:5353        0.0.0.0:*                           3728/chrome      

Ответить | Правка | Наверх | Cообщить модератору

20. "Доступ к данным из удалённых и приватных репозиториев на Git..."  +/
Сообщение от pavlinux (ok), 25-Июл-24, 13:04 
> Внешний IPшник сейчас 85.140.171.130 - жду!

Обломись, lease time уже протух, ищи рядом  - 85.140.0.0/16

Ответить | Правка | Наверх | Cообщить модератору

16. "Доступ к данным из удалённых и приватных репозиториев на Git..."  +/
Сообщение от Аноним (16), 25-Июл-24, 12:41 
Прямо очень халявный — заплатил провайдеру и пользуешься.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

11. "Доступ к данным из удалённых и приватных репозиториев на Git..."  +/
Сообщение от pavlinux (ok), 25-Июл-24, 12:09 
>  позволяющие получить полный доступ ко всем репозиториям  на GitHub.

А, всë таки на житхаб, а не удалëнно?!  

Ответить | Правка | Наверх | Cообщить модератору

17. "Доступ к данным из удалённых и приватных репозиториев на Git..."  +1 +/
Сообщение от Соль земли (?), 25-Июл-24, 12:54 
Первый сценарий: делаем временные API ключи.
Второй сценарий: github должен добавить purge. Потому что удалённые коммиты даже остаются доступны по хэшу. Помогает только полный снос репозитория.

А вообще github не подходит для приватной разработки. И мне кажется, что и gitlab тоже не стоит наружу выставлять.

Ответить | Правка | Наверх | Cообщить модератору

22. "Доступ к данным из удалённых и приватных репозиториев на Git..."  +1 +/
Сообщение от Аноним (22), 25-Июл-24, 13:18 
>Помогает только полный снос репозитория.

В том то и дело, что даже он не помогает.

Ответить | Правка | Наверх | Cообщить модератору

19. "Доступ к данным из удалённых и приватных репозиториев на Git..."  +/
Сообщение от Аноним (22), 25-Июл-24, 13:04 
Я только что проверил: заменённые коммиты многолетней давности - на месте. Если бы гитхаб чистил объекты без ссылок, то такого бы не было.
Ответить | Правка | Наверх | Cообщить модератору

27. "Доступ к данным из удалённых и приватных репозиториев на Git..."  +2 +/
Сообщение от Аноним (27), 25-Июл-24, 21:25 
> Компания удалила репозиторий через который была утечка, но ключи по-прежнему остались доступны для извлечения через обращения по хэшу коммита в репозиториях с форками.

Если колбоса из бутерброда упала на пол и её успели поднять за 5 сек, то не считается что упала. Можно просто отряхнуть и вложить назад в бутер .. и подать клиенту на стол.

Ответить | Правка | Наверх | Cообщить модератору

29. "Доступ к данным из удалённых и приватных репозиториев на Git..."  +/
Сообщение от Аноним (29), 25-Июл-24, 23:15 
А еще можно было просто склонировать репозиторий до того как удалили.. и да, там оно волшебным образом не удалится, когда у оригинальном репозитории чтото там удалят.

ахтунг, я открыл новую уязвимость!

Ответить | Правка | Наверх | Cообщить модератору

30. "Доступ к данным из удалённых и приватных репозиториев на Git..."  +/
Сообщение от Микхаэльemail (?), 26-Июл-24, 00:27 
После удаления в апстриме, вас вежливо попросят следовать тому же принципу. Если вы не пойдёте на встречу, то вас будут судить. Только уже тролли))
Ответить | Правка | Наверх | Cообщить модератору

31. "Доступ к данным из удалённых и приватных репозиториев на Git..."  +1 +/
Сообщение от Аноним (31), 26-Июл-24, 00:40 
Уязвимость с выложенными паролями бредовая какая-то.  Если нечаяно выложили логины/пароли, то их надо срочно менять, а не надеяться, что никто прочитать не успел.

Остальные "уязвимости" тоже уязвимости только в чьем-то воображении, кроме пожалуй доступа к приватной части репозитория, которая осталась закрытой после раскрытия другой части.

Ответить | Правка | Наверх | Cообщить модератору

33. "Доступ к данным из удалённых и приватных репозиториев на Git..."  +/
Сообщение от Аноним (33), 26-Июл-24, 16:42 
>Если нечаяно выложили логины/пароли, то их надо срочно менять, а не надеяться, что никто прочитать не успел.

А если кто-то в репозиторий по ошибке закоммитил секретную документацию, полученную от партнёров? Ждать, пока партнёр засудит, или всё же снести?

Ответить | Правка | Наверх | Cообщить модератору

38. "Доступ к данным из удалённых и приватных репозиториев на Git..."  +/
Сообщение от Электрон (?), 27-Июл-24, 21:28 
Очень даже реальный случай: с частного репозитория лилась потоком метаинформация типа "новый коммит + заголовок" на радость публике в канал Discord. В один прекрасный день один из коммитов был тестово-пентестовым. "Немного" раскрыл удавшуюся шалость в отношении auth сервера одной из дочерних компаний Microsoft. На самом деле много раскрыл, правда кипишь поднялся не по этой причине.

А тут же получается бывший публичный проект + непубличный форк + коммит = раскрытие информации. Коммиты либо 6-12 хексов запечатываются как build id или, как они показали, перебором. А все почему? Не проверяется принадлежность коммита к репозиторию ему создавшему, потому что объектное хранилище значит одно, а их ПО не утруждает себя ведением состояния и прав, и проверкой доступа.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

32. "Доступ к данным из удалённых и приватных репозиториев на Git..."  +1 +/
Сообщение от Аноним (32), 26-Июл-24, 12:34 
Вы сами выложили данные на сервера гита, а теперь беспокоитесь, что они могу "утечь"?
Лол.
Ну так все проблемы гита из за - "би дезигн".
Зачем они эти обязательные форки оригинального репа, перед моим коммитом внедрили?
Теперь пожинают плоды.
Ответить | Правка | Наверх | Cообщить модератору

34. "Доступ к данным из удалённых и приватных репозиториев на Git..."  +/
Сообщение от Аноним (33), 26-Июл-24, 16:44 
Для оптимизации хранения же. Ты ещё скажи спасибо, что там глобальной дедупликации нет, что все репозитории не являются implicitly форком одного и того же репозитория и что любой файл нельзя получить просто по хэшу.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру