gitlab访问令牌使用_绕过电子邮箱域验证——非法绑定Gitlab邮箱从而访问其内部服务...

最新推荐文章于 2024-07-26 14:38:22 发布
最新推荐文章于 2024-07-26 14:38:22 发布
阅读量1k 收藏
点赞数
文章标签: gitlab访问令牌使用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29798025/article/details/112415197
版权
本文揭示了Gitlab SCIM功能的一个潜在安全问题,允许创建与未经验证的内部电子邮件地址关联的账户,从而可能绕过客户端的邮箱验证,非法访问依赖Gitlab认证的内部服务。通过详细复现步骤,展示了如何利用这个漏洞来创建令牌并进行恶意操作,对Gitlab的安全性提出警告。
摘要由CSDN通过智能技术生成

我发现gitlab中最新的SCIM(跨域身份管理)功能可让gitlab中的任何组的所有者创建一个和已经经过验证的电子邮件相绑定的帐户。也就是说,我可以创建一个和电子邮件地址ngalog@gitlab.com相绑定的帐户,在gitlab.com看来,ngalog@gitlab.com是已经经过验证的内部帐户,可访问内部服务。

0a9e12c24f41dab01e7719b0fad14e65.png

这将给利用Gitlab作为身份验证的客户端带来问题,因为和ngalog@gitlab.com相绑定,当客户端检查用户的电子邮件域是否匹配@gitlab.com时,就能成功绕过,进而非法访问一些内部服务。

我曾经有一个gitlab相关的内部服务/站点列表,它们都需要使用和gitlab.com有关的邮箱登录,虽然目前我暂时找不到了,但我相信gitlab的安全团队一定知道都有哪些服务。任意未知第三方对这些服务的访问将给gitlab的基础网络设施带来巨大的安全威胁。

复现步骤

  • 在gitlab.com中,将你的群组升级为黄金。
  • 访问https://gitlab.com/groups/GROUP_PATH/-/saml,并按照文档设置SAML SSO(单点登录)。
  • 同一页面,创建SCIM令牌。
  • 使用创建的SCIM令牌发出如下请求。

最终请求如下:

POST /api/scim/v2/groups/YOUR_GROUP_NAME/Users HTTP/1.1Host: gitlab.comUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.13; rv:66.0) Gecko/20100101 Firefox/66.0Accept: text/html,application/xhtml+xm l,application/xm l;q=0.9,*/*;q=0.8Accept-Language: en-US,en;q=0.5Accept-Encoding: gzip, deflateContent-Type: application/scim+jsonAuthorization: Bearer YOUR_SCIM_TOKENContent-Length: 291{"externalId":"REPLACE_ME
水长羊二
关注
Gitlab API调用生成个人访问令牌并操作API(Java实现)
DevProZ的博客
08-14 1066
使用Gitlab进行项目管理和版本控制时,我们经常需要使用Gitlab API来实现一些自动化的操作,例如创建项目、添加成员、提交代码等。为了安全起见,Gitlab提供了基于个人访问令牌(Personal Access Token)的身份验证机制,可以给每个用户生成一个独立的Token,用于标识该用户的身份并限制其访问权限。下面是一个示例代码,演示了如何使用生成的访问令牌来创建一个新的项目。需要注意的是,在实际开发中,请谨慎处理个人访问令牌的存储和使用,确保其安全性。方法生成个人访问令牌,然后再调用。
Ruby-SAML / GitLab身份验证绕过(CVE-2024-45409)
最新发布
bmaoHk的博客
10-11 1083
Assertion元素包含安全凭证,并且通过计算断言的规范化内容的摘要(散列)来保护该元素的完整性。在计算此摘要之前,将从断言中删除签名节点。然后将此摘要包含在签名元素的SignedInfo块中。
gitlab 删除分支_手把手教你GitLab部署
weixin_39946996的博客
11-30 1400
一、GitLab介绍GitLab 是一个基于Git实现的在线代码仓库管理系统的开源项目。使用Git作为代码管理工具,并在此基础上搭建起来的web服务,一般用于企业、学校等内部网络搭建Git私服。通过 Web 界面进行访问公开的或者私人项目。它拥有与Github类似的功能,能够浏览源代码,管理缺陷和注释。可以管理团队对仓库的访问,它非常易于浏览提交过的版本并提供一个文件历史库。可以创建不同...
GitLab使用使用GitLab的OAuth2接口进行认证,获取访问令牌
weixin_46453070的博客
12-29 4818
务必参考GitLab的官方文档,https://docs.gitlab.com/ee/api/oauth2.html,以获取最准确、最新的信息和指南。OAuth协议是一个广泛接受的互联网授权标准,它允许用户授予第三方应用有限的访问权限,而无需将完整的控制权交给第三方。OAuth应用程序是基于OAuth协议构建的,用于授权第三方应用访问用户在另一服务上的私有资源(如用户数据和功能)而无需向第三方应用暴露用户的登录凭据(如用户名和密码)的一种应用程序。将用户重定向到GitLab的授权页面。,并附上一个授权码(
Gitlab项目仓库配置访问令牌,实现无密码拉取代码
qq_50247813的博客
08-16 1万+
https://oauth2:访问令牌@仓库地址。http://oauth2:访问令牌@仓库地址。已经通过令牌实现无密码拉去代码。3、利用日志来拉取密码。2、创建仓库访问令牌
Gitlab 双重认证和访问令牌使用
weixin_42253874的博客
06-27 5110
双重认证可以提高用户账户的安全性,防止密码泄露,他人随意登录。访问令牌就相当于项目或群组的访问密码,有了它就可以克隆项目。同时访问令牌有自己的有效期限和权限,群组或项目管理员可以根据需要设置不同权限和时间的访问令牌供不同的项目或群组成员使用。此外,访问令牌仅在首次创建后可见,关闭页面后只能查看到令牌使用情况和删除令牌。在使用令牌克隆项目之后就不需要再输入访问令牌了,针对该项目的推送和拉取实现。负责人需要妥善管理好访问令牌,做好保密措施。建议每6个月定期更新。
gitlab_download_python.zip
03-01
接下来,我们需要获取GitLab个人访问令牌(Personal Access Token, PAT),这个令牌将用于身份验证。在GitLab的个人设置中,找到“Access Tokens”部分创建一个新的令牌,确保它有足够的权限访问你需要操作的资源。 ...
gitlab.cr:Gitlab.cr是由Crystal编写的GitLab API包装器
02-05
接着,配置你的 GitLab API 访问令牌,这个令牌可以在 GitLab 的个人设置中生成。最后,通过 Crystal 的编程接口调用 `gitlab.cr` 提供的方法来与 GitLab 服务器进行通信。 总的来说,`gitlab.cr` 是 Crystal ...
nexus-gitlab-token-auth-plugin:使用 Gitlab 用户令牌的 Nexus 身份验证
06-29
使用 Gitlab 用户令牌的 Nexus 身份验证 安装 在 sonatype-work/nexus/plugin-repository 下解压包 (target/nexus-gitlab-token-auth-plugin-0.1.0-SNAPSHOT-bundle.zip) 将sample/gitlab-plugin.xml复制并编辑到:...
GitLab.VisualStudio:适用于Visual Studio的GitLab扩展
02-03
适用于Visual Studio的GitLab扩展 您可以记录任何您喜欢的GitLab服务器并开始出色的工作! 适用于Visual Studio的GitLab扩展在Visual Studio 2015/2017中提供了GitLab集成。 大多数扩展UI都位于“团队资源管理器”...
gitlab-activity-viewer:在GitLab.com或GitLab的自托管实例上查看有关您的贡献的统计信息! :hot_pepper:
05-21
使用您的GitLab.com api令牌在根文件夹中创建一个.env文件: REACT_APP_GITLAB_COM_TOKEN=xxxxx npm start在开发模式下运行应用程序。 网站位于 。 npm test以监视模式运行测试。 npm run build来构建用于生产的...
gitlab访问令牌使用_GitLab 向赏金猎人颁发 20,000 美元赏金,用于修补远程代码执行漏洞...
weixin_39847034的博客
01-06 224
技术编辑:王治治丨发自 猫爬架SegmentFault 思否报道丨公众号:SegmentFault近日,GitLab 向一名网络安全研究人员向其报告了一个严重的远程代码执行漏洞,颁发了 20,000 美元的奖金。虽然钱看起来并不是特别多,但根据漏洞反馈者的说法,如果该漏洞被攻击者发现,可能会被利用来"读取 GitLab 服务器上的任意文件,包括令牌、私有数据、和配置"。这个漏洞是由程序员...
极狐GitLab 如何创建个人访问令牌
GitLab 中国发行版
07-26 1514
如何创建极狐GitLab 个人访问令牌
gitlab访问令牌使用_使用gitlab API
weixin_31776191的博客
01-13 1339
## 安装完成如下![](https://box.kancloud.cn/3ad7dcf79b6b9b8bb9aacdf559205c63_914x822.png)## **修改 gitlab 的配置文件**~~~vi /etc/gitlab/gitlab.rb~~~### 修改里面的 external\_url 参数,例如我的宿主机的IP地址为 192.168.17.134~~~external...
篇二:部署GitLab-创建令牌GitLab凭证
老白嫖大怪兽的博客
02-15 4095
篇二:部署GitLab-创建令牌GitLab凭证
Git使用个人访问令牌提交代码到仓库
qq_43401552的博客
01-31 1万+
Github新版本,无法使用账号和密码对GitHub仓库,操作Git使用个人访问令牌提交代码到仓库
Gitlab问题
ZouChengli的博客
05-29 1885
1.gitlab想用访问。不直接用ip访问。 需要修改两个文件。 第一个:/etc/gitlab/gitlab.rb 找到external_url属性 修改成你想要换的名。 external_url ‘http://gitlab.xxx.com’ 第二个:/var/opt/gitlab/nginx/conf/gitlab-http.conf 找到这两个属性。 add_header Strict-Transport-Security "max-age=31536000"; add_he
Access Token 访问令牌 的获取与使用
热门推荐
IT小郭的技术博客
04-24 2万+
三方库导入时,通常需要输入账号和令牌进行鉴权。账号为指定平台的 HTTP 克隆账号,访问令牌即 Access Token,本文介绍如何获取常见三方代码平台的Access Token。
gitlab设置令牌,在vscode中git 不用每次输入账户密码了
2401_84007015的博客
03-30 1528
打开GitLab → 左侧 设置 → 访问令牌 → 输入用户名 → 选择有效期 → 勾选选项 → 创建访问令牌 → 创建后最上方出现 新项目的访问令牌 复制。
windows系统配置gitlab访问令牌
08-30
在Windows系统上配置GitLab访问令牌通常涉及以下几个步骤: 1. 登录到GitLab账号:首先打开浏览器,输入GitLab服务器地址并登录您的账户。 2. 创建个人访问令牌:在GitLab主页右上角找到“Settings”(设置),...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值