他在 Stack Overflow 提问如何黑掉Stack Overflow,结果成了

最新推荐文章于 2024-08-12 17:03:39 发布
最新推荐文章于 2024-08-12 17:03:39 发布
阅读量175 收藏
点赞数
文章标签: 安全 java docker devops 数据库
原文链接:https://codesafe.qianxin.com/#/home
版权

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

开发者站点 Stack Overflow 公开了可追溯至2019年5月的安全事件详情,发现入侵系统的一名黑客广泛利用 Stack Overflow 本身判断如何执行下一步。

当时,Stack Overflow 报道称一名越权用户登陆其开发系统并将权限提升至 stackoverflow.com 的生产环境。该站点的源代码以及184名用户的 IP 地址和邮件地址被盗,不过包含该站点内容及其客户的数据库并未受影响。

Stack Overflow 架构团队的首席开发人员 Dean Ward 还报告了进一步的详情,似乎已“咨询过执法部门“。

该报告说明了这起攻击事件的时间线,它始于4月30日对 Stack Overflow 基础设施的侦查。从报告来看,源代码似乎是一个特定目标,因为攻击者起初伪装成客户要求获取源代码副本,“开展审计”但并未成功。报告指出,“这一请求被拒绝,因为我们不会给出源代码,而且从邮件来看并非源自客户。”

虽然开头不顺,但几天后攻击者使用一个构造的登录请求绕过访问控制,成功登录到 StackOverflow 的开发环境,之后成功提权。他们后续访问了 TeamCity即 JetBrains 持续集成产品。

Ward 指出,“角色分配不当意味着用户立即获得 build 服务器的管理员权限”。TeamCity 是如何运作的?“攻击者显然不是太了解该产品,因此花时间在 Stack Overflow 上提问如何使用并配置”。

攻击者使用为 TeamCity 配置的访问权限克隆了 GitHub 企业版上托管的多个仓库。Stack Overflow 指出,“他们继续浏览 Stack Overflow 关于在 IIS 下如何构建和运行 .NET 应用程序的详情以及在Azure 环境下运行 SQL 脚本的详情”。

在一个重要步骤中,攻击者写了一些 SQL,提升在整个 Stack Exchange 网络中的权限,且“经过多次尝试后,构造了一个 build,将其作为针对包含 Stack Exchange Network 数据的生产数据库的 SQL 迁移执行“。

Stack Overflow社区注意到一名新用户的权限广泛,于是报告给安全团队。Stack Overflow 安全团队采取了更加激进的方法,使 Team City 脱机并删除了权限和凭据。然而,由于丢失了一些东西,“攻击者再次拉取了源代码“;在查看关于如何构建 .NET 应用程序的问题时却被告知”如何删除 GitLab 上的仓库“信息。该基础设施再次被锁定,而”攻击者继续查看问答板块,这次是围绕 SQL 和证书的问题“,这是攻击者最后的操作。

尽管这起事件对 StackOverflow 站点的影响以及被盗数据量较小,但确实该站点的很多源代码被盗,尽管其价值有待商榷。

这起事件不仅说明了恶意人员可能也会使用 Stack Overflow,而且还说明开发和构建进程可能是 IT 系统中的一个弱点。

开发人员可能具有对生产环境的较高访问权限,而且即使没有这么高的权限,但损坏 build 进程也可创建后门,继而被部署到生产环境中。

左中括号

源代码中的 Twitter API 密钥

左中括号

报告指出,Stack Overflow 会解决安全问题,“机密信息出现在源控制中,以明文形式出现在build 系统并可通过应用程序中的设置屏幕可获取。“

Stack Overflow 公司还为build和源控制系统设置了防火墙保护,增加了关于提权的指标和警告,并且拦截了在系统中查看账户恢复邮件的能力。

尽管不要在源代码中泄露机密信息看似容易,但实际上开发人员有时候难以避免。Stack Overflow 和推特的集成被禁用,原因是 Twitter API 密钥存在于源代码中,开发人员未找到其它解决方案。Ward 指出,“我们认为该功能对于付出的努力而言不够重要“。

Stack Overflow 的后续计划包括通过新的 VPN 强制部署双因素认证机制、构建运行时机密存储并分离构建和部署。尽管它和持续集成的趋势不符,但它将使“我们拥有确定的 build 并更好地管理部署权限“。

类似的安全事件还有多少?

攻击者是谁?“由于调查正在进行,恕我们无法就其它攻击详情进行评论“ Stack Overflow表示。当这起事件被发现时,StackExchange 聊天中进行了记录,而且其中包含该用户的名字(名字有可能是伪造的)。

推荐阅读

我摸鱼写的Java片段意外称霸Stack Overflow十年、征服6000多GitHub开源项目: 有bug!

全球最大的编程主题问答网站 Stack Overflow 生产系统遭黑客访问,详情不明

原文链接

https://www.theregister.com/2021/01/27/stack_overflow_2019_hack_was/

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP has encountered a Stack overflow问题解决方法
10-25
在使用PHP开发过程中,遇到“PHP has encountered a Stack overflow”错误通常是程序在运行时超过了PHP默认的栈内存限制。这个问题经常发生在处理大量数据或递归调用过多的情况下。当PHP解释器在运行时分配的栈内存...
Stack Overflow上复制粘贴编程方法精要
02-15
在现代软件开发过程中,遇到问题时,很多开发者会求助于网络资源,尤其是像Stack Overflow这样的平台。本书旨在帮助开发者理解如何正确地利用这些资源,特别是如何合理合法地从Stack Overflow等网站上复制代码片段,...
关机指令代码_利用代码的Stack overflow进行"黑客"操作
weixin_39614011的博客
11-29 255
怎么用代码的Stack overflow黑进别人系统-初级篇1 前言学了这么多年的编程语言,什么python, C, C++, JAVA, PHP,MATLAB都有接触除了if, else用的比较溜,其余的没发现有什么见长。代码只有数量没有质量,一段好的代码应该是安全的,高效的,今天我就结合做过的项目聊聊怎么利用Stack overflow在Linux C语言的环境下进行代码渗透。2 基础工具OS...
stackOverflow_删除自己stackOverflow上的回答(delete my answer on stackoverflow)
xuchaoxin1375的博客
01-26 492
文章目录 在问题页面找到自己的回答,投票计数器傍边可以看到几个按钮,可删除
去除或关闭stackoverflow网站左下角Your privacy
数字人生
03-12 2427
1.在弹窗上点击鼠标右键,选择”检查“后打开开发者工具栏。在开发者工具栏选中的div中,点击鼠标右键,并在弹出选项中点击删除元素,可以去除弹窗。 2.edge浏览器搜索“Replace Google CDN”并安装,刷新页面后,点击Your privacy弹窗中的选项,可关闭弹窗。 参考: ​​​​​​去除stackoverflow页面上关不掉的cookie弹窗_togolife的博客-CSDN博客_stackoverflow 左下角弹窗 stackoverflow网站左下角弹框点击我接收所有c
去除stackoverflow页面上关不掉的cookie弹窗
togolife的博客
11-28 2640
不知道怎么搞的,打开stackoverflow后,在页面左下角总出现一个弹窗,不管怎么点击就是消失不了。 笔者使用火狐浏览器,在弹窗上点击鼠标右键,选择”检查“后打开开发者工具栏。 在开发者工具栏选中的div中,点击鼠标右键,并在弹出选项中点击删除节点,即可去除页面上弹窗。 ...
访问 stackoverflow速度慢解决方法
热门推荐
xinyu391的专栏
08-20 1万+
每次访问stackoverflow.com,都满的要死chrome F12查看罪魁祸首是 gfwhttps://ajax.googleapis.com/ajax/libs/jquery/1.12.4/jquery.min.js 这个请求一直pending。解决方法,既然googleapis.com无法访问,就换个能访问的。百度发现(https://zhidao.baidu.com/questio...
Stack Overflow Annual Developer Survey.zip
07-03
Stack Overflow年度开发者调查是全球最大的在线编程社区Stack Overflow每年举办的一项重要活动,旨在了解开发者群体的行为、偏好、技能以及职业趋势。自2011年开始,这个调查已经连续进行了十年,为行业提供了丰富的...
sopython-site:有关Stack Overflow的Python聊天室的网站
02-05
`sopython-site`与Stack Overflow的关联在于它为Python相关的讨论提供了一个补充的平台,用户可以在网站上进行更即时的沟通,同时还能链接到Stack Overflow上的相关问题和答案。 ### Python Python是一种高级编程...
tracestack:在 Stack Overflow 中搜索您最近的错误消息
06-09
Stack Overflow 中搜索您最近的错误消息。 您可以使用安装软件包,如下所示: # install.packages("devtools") devtools::install_github("dgrtwo/tracestack") 加载它 library(tracestack) 然后在收到错误...
StackOverflow 明年2月起代码许可证切换到 MIT
weixin_34025051的博客
06-02 102
编程问答社区Stack Overflow宣布从 明年2月1日起用户贡献的所有代码将采用MIT许可证授权。MIT许可证允许不受限制的重用代码。非代码文字仍然采用CC-BY-SA授权。Stack Overflow是一个讨论编程问题的社区,因此用户发的帖子中通常会包含几行代码,但贡献的代码究竟应该采用什么许可证授权,用户时常感到不确定。 Stack Overf...
stackoverflow.com到底有多牛逼?
weixin_34259232的博客
05-14 1589
为什么80%的码农都做不了架构师?>>> ...
玩转 Stack Overflow提问
u011904605的博客
12-24 1526
http://blog.jobbole.com/101980/ http://blog.jobbole.com/101980/ http://blog.jobbole.com/101980/ http://blog.jobbole.com/101980/ Stack Overflow是世界上最大的编程类问答网站, 大多数程序员或多或少和它有所接触:
一个加速访问 StackOverflow 的方法
q503267755的博客
03-28 2413
文/kamidox(简书作者) 原文链接:http://www.jianshu.com/p/690e28f7fde6 著作权归作者所有,转载请联系作者获得授权,并标注“简书作者”。 问题 访问 StackOverflow 时奇慢无比有没有?其实原因不是因为 StackOverflow 不能访问,而是因为 StackOverflow 网站引用了 Google 的 CDN 加速服务器来下载
解决stackoverflow无法登陆问题
weixin_33744141的博客
03-27 1451
缘起: 想登录stackoverflow,但提示: Stack Overflow requires external JavaScript from another domain, which is blocked or failed to load. 咋地啦 why?原来是stackoverflow引用了 被禁的ajax.googleapis.com的jquery.min.j...
Animetronic - hackmyvm
最新发布
tanbinn的博客
08-12 479
hackmyvm的Animetronic靶场
如何在Stack Overflow注册新用户?
05-20
您可以按照以下步骤注册一个新的 Stack Overflow 帐户: ...请注意,Stack Overflow 还要求您输入一些其他信息,例如您的显示名称和个人资料信息。在注册后,您可以在个人资料页面中编辑这些信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值