Platform, ‘düşük önemde’ olarak bildirilen hata için yüksek ödül ödüyor
Bir araştırmacı, platformun giriş arayüzünü taklit etmenin bir yolunu keşfettikten sonra GitHub’dan 10.000 dolarlık bir hata ödülü kazandı.
Saajan Bhujel, web sitesinin CSS’sini değiştirmesine izin veren ve potansiyel olarak kullanıcıları sahte sayfaya giriş yapmaları için kandıran bir baypas buldu.
GitHub, LaTeX, MathML ve AsciiMath notasyonu için açık kaynaklı bir JavaScript görüntüleme motoru olan MathJax’i kullanır.
Kullanıcılar, MathJax kitaplığı aracılığıyla Markdown’da matematiksel ifadeleri oluşturabilir veya görüntüleyebilir.
En son web güvenliği güvenlik açığı haberlerini okuyun
Bhujel, filtrelenen ve kaldırılan kötü amaçlı bir etiket enjekte ederek MathJax’in HTML filtrelemesini atlamanın bir yolunu buldu, bu da GitHub oturum açma arayüzünü taklit eden form öğelerini enjekte etmesine izin verdi.
Bir blog gönderisinde açıklandığı gibi, sorunu başlangıçta farklı bir teknik kullanarak GitHub’a bildirdi.
GitHub, gönderiminin bir kopya olduğunu fark ettiğinde, Bhujel, bypass’ı bulmasını sağlamak için farklı bir teknik kullandı.
araştırmacı anlattı Günlük Swig başlangıçta düşük önemde bir sorun olarak bildirmesine rağmen, 10.000 dolarlık ödülden “çok mutlu” olduğunu söyledi.
ÖNERİLEN Gömülü RCE istismarı ile Başarısız Kobalt Saldırısı düzeltmesi şimdi yamalı