gitlab漏洞系列

Posted 2023-03-09

参考技术A gitlab漏洞系列-越权查看用户私有信息

白帽小哥maruthi12在2019年的时候提交了这个漏洞: 可以在私人档案中查看star的项目。以我的个人资料为例: https://gitlab.com/maruthi-adithya ，这是一个私人信息，我的帐户相关信息不应该被泄露。然而， https://gitlab.com/users/maruthi-adithya/starred.json 确公开了star项目。

注:这个漏洞gitlab官方给了500美刀.

1.登录到Gitlab。点击设置选项。

2.勾选“不要在个人资料中显示与活动相关的个人信息”。

3.保存配置文件。

4.从私人窗口打开你的资料。它会说这是一个私人档案。然而，上述API暴露了star项目的信息。

根据文档 https://gitlab.com/help/user/profile/index.md#private-profile ，star的项目应该被隐藏。然而，由于这个API，它被公开了。利用这一点，攻击者可以从私人配置文件中窃取敏感数据。