forum.opennet.ru - "Доступ к данным из удалённых и приватных репозиториев на GitHub, имеющих форки" (26)

"Доступ к данным из удалённых и приватных репозиториев на GitHub, имеющих форки"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Доступ к данным из удалённых и приватных репозиториев на GitHub, имеющих форки"	+/–
Сообщение от opennews (??), 25-Июл-24, 11:14
Компания Truffle Security опубликовала сценарии атак на несколько типовых приёмов работы с репозиториями на GitHub, позволяющие извлечь данные из удалённых репозиториев, у которых имеются публичные форки или которые были созданы как форки... Подробнее: https://www.opennet.me/opennews/art.shtml?num=61605
Ответить \| Правка \| Cообщить модератору

Оглавление

Дагестанские ученые открыли дверь Уже обсасывали эту новость, гитхаб уже давно , Аноним (1), 11:14 , 25-Июл-24, (1) –3

Опять новость до конца не дочитал , анон (?), 11:22 , 25-Июл-24, (2) +9
В апстринме этих АПИ коючей нет Ну а если серьезно, то не стоит тащить в лабу с, IdeaFix (ok), 11:23 , 25-Июл-24, (3) +1

Не надо пользоваться гитхабом, Аноним (5), 11:32 , 25-Июл-24, (5)

Не надо пользоваться интернетом, nume (ok), 11:51 , 25-Июл-24, (6) +2
Гитхаб самая популярная платформа Хостишься на других - автоматически снижаешь , Аноним (24), 16:09 , 25-Июл-24, (24) –2

Если цель не работать, а привлекать любых соблазнившизся коммитеров - тогда да В, Аноним (35), 23:09 , 26-Июл-24, (35) +1

Так вроде сама концепция Гита это и подразумевает , Аноним (5), 11:32 , 25-Июл-24, (4) +1

Нет, Аноним (7), 12:07 , 25-Июл-24, (7) +2

Ну желаю им удачи извлечь что-то из 192 168 0 1 , pavlinux (ok), 12:07 , 25-Июл-24, (8) +3

Халявный интернет из него довольно неплохо извлекается, если что , Аноним (-), 12:29 , 25-Июл-24, (13) +2

Давай подробнее, скрипты, сценарии, ссылки, а то ж через dev astral каждый мо, pavlinux (ok), 12:40 , 25-Июл-24, (15)

Обломись, lease time уже протух, ищи рядом - 85 140 0 0 16 , pavlinux (ok), 13:04 , 25-Июл-24, (20)

Прямо очень халявный 8212 заплатил провайдеру и пользуешься , Аноним (16), 12:41 , 25-Июл-24, (16)

А, вс 235 таки на житхаб, а не удал 235 нно , pavlinux (ok), 12:09 , 25-Июл-24, (11)
Первый сценарий делаем временные API ключи Второй сценарий github должен добав, Соль земли (?), 12:54 , 25-Июл-24, (17) +1

В том то и дело, что даже он не помогает , Аноним (22), 13:18 , 25-Июл-24, (22) +1

Я только что проверил заменённые коммиты многолетней давности - на месте Если , Аноним (22), 13:04 , 25-Июл-24, (19)
Если колбоса из бутерброда упала на пол и её успели поднять за 5 сек, то не счит, Аноним (27), 21:25 , 25-Июл-24, (27) +2
А еще можно было просто склонировать репозиторий до того как удалили и да, там, Аноним (29), 23:15 , 25-Июл-24, (29)

После удаления в апстриме, вас вежливо попросят следовать тому же принципу Если, Микхаэль (?), 00:27 , 26-Июл-24, (30)

Уязвимость с выложенными паролями бредовая какая-то Если нечаяно выложили логи, Аноним (31), 00:40 , 26-Июл-24, (31) +1

А если кто-то в репозиторий по ошибке закоммитил секретную документацию, получен, Аноним (33), 16:42 , 26-Июл-24, (33)
Очень даже реальный случай с частного репозитория лилась потоком метаинформация, Электрон (?), 21:28 , 27-Июл-24, (38)

Вы сами выложили данные на сервера гита, а теперь беспокоитесь, что они могу ут, Аноним (32), 12:34 , 26-Июл-24, (32) +1

Для оптимизации хранения же Ты ещё скажи спасибо, что там глобальной дедупликац, Аноним (33), 16:44 , 26-Июл-24, (34)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 25-Июл-24, 11:14 –3 +/–

Дагестанские ученые открыли дверь. Уже обсасывали эту новость, гитхаб уже давно добавил плашку "вы смотрите изменения в форке!! в апстриме таких правок нет!!"

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #3

2. Сообщение от анон (?), 25-Июл-24, 11:22 +9 +/–

Опять новость до конца не дочитал?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

3. Сообщение от IdeaFix (ok), 25-Июл-24, 11:23 +1 +/–

В апстринме этих АПИ коючей нет!

Ну а если серьезно, то не стоит тащить в "лабу с ключами" в гитхаб.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #5

4. Сообщение от Аноним (5), 25-Июл-24, 11:32 +1 +/–

Так вроде сама концепция Гита это и подразумевает.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7

5. Сообщение от Аноним (5), 25-Июл-24, 11:32 +/–

Не надо пользоваться гитхабом

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #6, #24

6. Сообщение от nume (ok), 25-Июл-24, 11:51 +2 +/–

Не надо пользоваться интернетом

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

7. Сообщение от Аноним (7), 25-Июл-24, 12:07 +2 +/–

Нет

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

8. Сообщение от pavlinux (ok), 25-Июл-24, 12:07 +3 +/–

>  позволяющие извлечь данные из удалённых репозиториев, у которых имеются публичные форки
Ну желаю им удачи извлечь что-то из 192.168.0.1

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13

11. Сообщение от pavlinux (ok), 25-Июл-24, 12:09 +/–

>  позволяющие получить полный доступ ко всем репозиториям  на GitHub.
А, всë таки на житхаб, а не удалëнно?!

Ответить | Правка | Наверх | Cообщить модератору

13. Сообщение от Аноним (-), 25-Июл-24, 12:29 +2 +/–

> Ну желаю им удачи извлечь что-то из 192.168.0.1
Халявный интернет из него довольно неплохо извлекается, если что :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #15, #16

15. Сообщение от pavlinux (ok), 25-Июл-24, 12:40 +/–

>> Ну желаю им удачи извлечь что-то из 192.168.0.1
> Халявный интернет из него довольно неплохо извлекается, если что :)
Давай подробнее, скрипты, сценарии, ссылки,  а то ж через /dev/astral  каждый может.
Внешний IPшник сейчас 85.140.171.130 - жду!

# netstat -tucln -p
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      1725/dnsmasq
udp        0      0 127.0.0.1:53            0.0.0.0:*                           1725/dnsmasq
udp        0      0 224.0.0.251:5353        0.0.0.0:*                           3728/chrome

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #20

16. Сообщение от Аноним (16), 25-Июл-24, 12:41 +/–

Прямо очень халявный — заплатил провайдеру и пользуешься.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

17. Сообщение от Соль земли (?), 25-Июл-24, 12:54 +1 +/–

Первый сценарий: делаем временные API ключи.
Второй сценарий: github должен добавить purge. Потому что удалённые коммиты даже остаются доступны по хэшу. Помогает только полный снос репозитория.
А вообще github не подходит для приватной разработки. И мне кажется, что и gitlab тоже не стоит наружу выставлять.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22

19. Сообщение от Аноним (22), 25-Июл-24, 13:04 +/–

Я только что проверил: заменённые коммиты многолетней давности - на месте. Если бы гитхаб чистил объекты без ссылок, то такого бы не было.

Ответить | Правка | Наверх | Cообщить модератору

20. Сообщение от pavlinux (ok), 25-Июл-24, 13:04 +/–

> Внешний IPшник сейчас 85.140.171.130 - жду!
Обломись, lease time уже протух, ищи рядом  - 85.140.0.0/16

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

22. Сообщение от Аноним (22), 25-Июл-24, 13:18 +1 +/–

>Помогает только полный снос репозитория.
В том то и дело, что даже он не помогает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

24. Сообщение от Аноним (24), 25-Июл-24, 16:09 –2 +/–

Гитхаб самая популярная платформа. Хостишься на других - автоматически снижаешь количество потенциальных коммитеров. Если цель не работать, а скакать между хостингами - можно хоть в локальный гит класть.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #35

27. Сообщение от Аноним (27), 25-Июл-24, 21:25 +2 +/–

> Компания удалила репозиторий через который была утечка, но ключи по-прежнему остались доступны для извлечения через обращения по хэшу коммита в репозиториях с форками.
Если колбоса из бутерброда упала на пол и её успели поднять за 5 сек, то не считается что упала. Можно просто отряхнуть и вложить назад в бутер .. и подать клиенту на стол.

Ответить | Правка | Наверх | Cообщить модератору

29. Сообщение от Аноним (29), 25-Июл-24, 23:15 +/–

А еще можно было просто склонировать репозиторий до того как удалили.. и да, там оно волшебным образом не удалится, когда у оригинальном репозитории чтото там удалят.
ахтунг, я открыл новую уязвимость!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #30

30. Сообщение от Микхаэль (?), 26-Июл-24, 00:27 +/–

После удаления в апстриме, вас вежливо попросят следовать тому же принципу. Если вы не пойдёте на встречу, то вас будут судить. Только уже тролли))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

31. Сообщение от Аноним (31), 26-Июл-24, 00:40 +1 +/–

Уязвимость с выложенными паролями бредовая какая-то.  Если нечаяно выложили логины/пароли, то их надо срочно менять, а не надеяться, что никто прочитать не успел.
Остальные "уязвимости" тоже уязвимости только в чьем-то воображении, кроме пожалуй доступа к приватной части репозитория, которая осталась закрытой после раскрытия другой части.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33, #38

32. Сообщение от Аноним (32), 26-Июл-24, 12:34 +1 +/–

Вы сами выложили данные на сервера гита, а теперь беспокоитесь, что они могу "утечь"?
Лол.
Ну так все проблемы гита из за - "би дезигн".
Зачем они эти обязательные форки оригинального репа, перед моим коммитом внедрили?
Теперь пожинают плоды.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34

33. Сообщение от Аноним (33), 26-Июл-24, 16:42 +/–

>Если нечаяно выложили логины/пароли, то их надо срочно менять, а не надеяться, что никто прочитать не успел.
А если кто-то в репозиторий по ошибке закоммитил секретную документацию, полученную от партнёров? Ждать, пока партнёр засудит, или всё же снести?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

34. Сообщение от Аноним (33), 26-Июл-24, 16:44 +/–

Для оптимизации хранения же. Ты ещё скажи спасибо, что там глобальной дедупликации нет, что все репозитории не являются implicitly форком одного и того же репозитория и что любой файл нельзя получить просто по хэшу.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

35. Сообщение от Аноним (35), 26-Июл-24, 23:09 +1 +/–

Если цель не работать, а привлекать любых соблазнившизся коммитеров - тогда да.
В остальном всё с ног на голову: ценность не в коде, который ты собрался писать, а в чужой платформе, куда ты собрался все выкладывать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

38. Сообщение от Электрон (?), 27-Июл-24, 21:28 +/–

Очень даже реальный случай: с частного репозитория лилась потоком метаинформация типа "новый коммит + заголовок" на радость публике в канал Discord. В один прекрасный день один из коммитов был тестово-пентестовым. "Немного" раскрыл удавшуюся шалость в отношении auth сервера одной из дочерних компаний Microsoft. На самом деле много раскрыл, правда кипишь поднялся не по этой причине.
А тут же получается бывший публичный проект + непубличный форк + коммит = раскрытие информации. Коммиты либо 6-12 хексов запечатываются как build id или, как они показали, перебором. А все почему? Не проверяется принадлежность коммита к репозиторию ему создавшему, потому что объектное хранилище значит одно, а их ПО не утруждает себя ведением состояния и прав, и проверкой доступа.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 25-Июл-24, 11:14	–3 +/–
Дагестанские ученые открыли дверь. Уже обсасывали эту новость, гитхаб уже давно добавил плашку "вы смотрите изменения в форке!! в апстриме таких правок нет!!"
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #2, #3

2. Сообщение от анон (?), 25-Июл-24, 11:22	+9 +/–
Опять новость до конца не дочитал?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

3. Сообщение от IdeaFix (ok), 25-Июл-24, 11:23	+1 +/–
В апстринме этих АПИ коючей нет! Ну а если серьезно, то не стоит тащить в "лабу с ключами" в гитхаб.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #5

4. Сообщение от Аноним (5), 25-Июл-24, 11:32	+1 +/–
Так вроде сама концепция Гита это и подразумевает.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #7

5. Сообщение от Аноним (5), 25-Июл-24, 11:32	+/–
Не надо пользоваться гитхабом
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #6, #24

6. Сообщение от nume (ok), 25-Июл-24, 11:51	+2 +/–
Не надо пользоваться интернетом
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

7. Сообщение от Аноним (7), 25-Июл-24, 12:07	+2 +/–
Нет
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

8. Сообщение от pavlinux (ok), 25-Июл-24, 12:07	+3 +/–
> позволяющие извлечь данные из удалённых репозиториев, у которых имеются публичные форки Ну желаю им удачи извлечь что-то из 192.168.0.1
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #13

11. Сообщение от pavlinux (ok), 25-Июл-24, 12:09	+/–
> позволяющие получить полный доступ ко всем репозиториям на GitHub. А, всë таки на житхаб, а не удалëнно?!
Ответить \| Правка \| Наверх \| Cообщить модератору

13. Сообщение от Аноним (-), 25-Июл-24, 12:29	+2 +/–
> Ну желаю им удачи извлечь что-то из 192.168.0.1 Халявный интернет из него довольно неплохо извлекается, если что :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8 Ответы: #15, #16

15. Сообщение от pavlinux (ok), 25-Июл-24, 12:40	+/–
>> Ну желаю им удачи извлечь что-то из 192.168.0.1 > Халявный интернет из него довольно неплохо извлекается, если что :) Давай подробнее, скрипты, сценарии, ссылки, а то ж через /dev/astral каждый может. Внешний IPшник сейчас 85.140.171.130 - жду! # netstat -tucln -p Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 1725/dnsmasq udp 0 0 127.0.0.1:53 0.0.0.0:* 1725/dnsmasq udp 0 0 224.0.0.251:5353 0.0.0.0:* 3728/chrome
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13 Ответы: #20

16. Сообщение от Аноним (16), 25-Июл-24, 12:41	+/–
Прямо очень халявный — заплатил провайдеру и пользуешься.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13

17. Сообщение от Соль земли (?), 25-Июл-24, 12:54	+1 +/–
Первый сценарий: делаем временные API ключи. Второй сценарий: github должен добавить purge. Потому что удалённые коммиты даже остаются доступны по хэшу. Помогает только полный снос репозитория. А вообще github не подходит для приватной разработки. И мне кажется, что и gitlab тоже не стоит наружу выставлять.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #22

19. Сообщение от Аноним (22), 25-Июл-24, 13:04	+/–
Я только что проверил: заменённые коммиты многолетней давности - на месте. Если бы гитхаб чистил объекты без ссылок, то такого бы не было.
Ответить \| Правка \| Наверх \| Cообщить модератору

20. Сообщение от pavlinux (ok), 25-Июл-24, 13:04	+/–
> Внешний IPшник сейчас 85.140.171.130 - жду! Обломись, lease time уже протух, ищи рядом - 85.140.0.0/16
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15

22. Сообщение от Аноним (22), 25-Июл-24, 13:18	+1 +/–
>Помогает только полный снос репозитория. В том то и дело, что даже он не помогает.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17

24. Сообщение от Аноним (24), 25-Июл-24, 16:09	–2 +/–
Гитхаб самая популярная платформа. Хостишься на других - автоматически снижаешь количество потенциальных коммитеров. Если цель не работать, а скакать между хостингами - можно хоть в локальный гит класть.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #35

27. Сообщение от Аноним (27), 25-Июл-24, 21:25	+2 +/–
> Компания удалила репозиторий через который была утечка, но ключи по-прежнему остались доступны для извлечения через обращения по хэшу коммита в репозиториях с форками. Если колбоса из бутерброда упала на пол и её успели поднять за 5 сек, то не считается что упала. Можно просто отряхнуть и вложить назад в бутер .. и подать клиенту на стол.
Ответить \| Правка \| Наверх \| Cообщить модератору

29. Сообщение от Аноним (29), 25-Июл-24, 23:15	+/–
А еще можно было просто склонировать репозиторий до того как удалили.. и да, там оно волшебным образом не удалится, когда у оригинальном репозитории чтото там удалят. ахтунг, я открыл новую уязвимость!
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #30

30. Сообщение от Микхаэль (?), 26-Июл-24, 00:27	+/–
После удаления в апстриме, вас вежливо попросят следовать тому же принципу. Если вы не пойдёте на встречу, то вас будут судить. Только уже тролли))
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #29

31. Сообщение от Аноним (31), 26-Июл-24, 00:40	+1 +/–
Уязвимость с выложенными паролями бредовая какая-то. Если нечаяно выложили логины/пароли, то их надо срочно менять, а не надеяться, что никто прочитать не успел. Остальные "уязвимости" тоже уязвимости только в чьем-то воображении, кроме пожалуй доступа к приватной части репозитория, которая осталась закрытой после раскрытия другой части.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #33, #38

32. Сообщение от Аноним (32), 26-Июл-24, 12:34	+1 +/–
Вы сами выложили данные на сервера гита, а теперь беспокоитесь, что они могу "утечь"? Лол. Ну так все проблемы гита из за - "би дезигн". Зачем они эти обязательные форки оригинального репа, перед моим коммитом внедрили? Теперь пожинают плоды.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #34

33. Сообщение от Аноним (33), 26-Июл-24, 16:42	+/–
>Если нечаяно выложили логины/пароли, то их надо срочно менять, а не надеяться, что никто прочитать не успел. А если кто-то в репозиторий по ошибке закоммитил секретную документацию, полученную от партнёров? Ждать, пока партнёр засудит, или всё же снести?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #31

34. Сообщение от Аноним (33), 26-Июл-24, 16:44	+/–
Для оптимизации хранения же. Ты ещё скажи спасибо, что там глобальной дедупликации нет, что все репозитории не являются implicitly форком одного и того же репозитория и что любой файл нельзя получить просто по хэшу.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #32

35. Сообщение от Аноним (35), 26-Июл-24, 23:09	+1 +/–
Если цель не работать, а привлекать любых соблазнившизся коммитеров - тогда да. В остальном всё с ног на голову: ценность не в коде, который ты собрался писать, а в чужой платформе, куда ты собрался все выкладывать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #24

38. Сообщение от Электрон (?), 27-Июл-24, 21:28	+/–
Очень даже реальный случай: с частного репозитория лилась потоком метаинформация типа "новый коммит + заголовок" на радость публике в канал Discord. В один прекрасный день один из коммитов был тестово-пентестовым. "Немного" раскрыл удавшуюся шалость в отношении auth сервера одной из дочерних компаний Microsoft. На самом деле много раскрыл, правда кипишь поднялся не по этой причине. А тут же получается бывший публичный проект + непубличный форк + коммит = раскрытие информации. Коммиты либо 6-12 хексов запечатываются как build id или, как они показали, перебором. А все почему? Не проверяется принадлежность коммита к репозиторию ему создавшему, потому что объектное хранилище значит одно, а их ПО не утруждает себя ведением состояния и прав, и проверкой доступа.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #31