专注企业信息安全建设

标签GitHub

UCloud GET SHELL

U

1 漏洞入口 GSIL监测到一处敏感信息泄露,涉及UCloud的一些系统(设计运营系统、General Compute Operation Support System、通用计算平台运营系统、UGC平台的运营管理系统)的代码泄露。 *******g/*** 2 信息泄露 其中包含一些邮件账号密码 send_account := "***-noreply@ucloud.cn" send_password := "U**********3" host := "smtp.qiye.163.com:25" 发送邮件验证测试 数据库账号密码及其他配置信息 3 扩大影响 通过Cobra扫描了下泄露的源码,发现了几处SQL注入。 入参就是SQL,很是明显,而且未做任何权限认证。 .***.***.***:***/query?q=show%20databases; .***.***...

GitHub敏感信息泄漏

G

结合管理和技术手段杜绝GitHub敏感信息泄露问题,做到近实时监控预警。分享开发GitHub敏感信息监控过程中的特征采集、最佳告警响应方式、误报规则类型、漏报处理思路以及整体GitHub敏感信息泄露的现状等等一些经验。

某站点GET SHELL

1 信息泄露 Edge插件检测(左下角提示)到百姓金融存在Git泄漏。  看下泄漏的git信息,是部署在GitHub Private上的项目。  由于是带auth-token的,可以直接使用auth-token作为授权码将代码下载下来。  2 GET SHELL 代码下载后发现无太多可以利用的东西,连硬编码免密都没有。于是审计源码,发现代码中存在可以在线更新项目的脚本pull.php。 遂通过auth-token直接将大马commit到git上,然后访问在线更新脚本pull.php从git上更新最新代码,即可GETSHELL。 DB 账号信息  DB 数据  3 扩大战果 除了这个项目外,还发现聚车商APP的管理后台代码仓库地址。 **********c0480b3ed157687:x-oauth-basic@github...

专注企业信息安全建设

Languages

标签