好看的小说完本推荐,《完美世界》txt全集,盗墓笔记第二季

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

攻擊者利用OAuth令牌竊取私人存儲(chǔ)庫(kù)數(shù)據(jù)

GitHub披露了上周的事件相關(guān)細(xì)節(jié)，黑客使用偷來的OAuth令牌，從私人倉(cāng)庫(kù)下載了數(shù)據(jù)。

創(chuàng)新互聯(lián)建站始終堅(jiān)持【策劃先行，效果至上】的經(jīng)營(yíng)理念，通過多達(dá)十年累計(jì)超上千家客戶的網(wǎng)站建設(shè)總結(jié)了一套系統(tǒng)有效的網(wǎng)絡(luò)營(yíng)銷推廣解決方案，現(xiàn)已廣泛運(yùn)用于各行各業(yè)的客戶，其中包括：墻體彩繪等企業(yè)，備受客戶稱贊。

GitHub首席安全官M(fèi)ike Hanley說："我們并不認(rèn)為攻擊者是通過破壞GitHub或其系統(tǒng)來獲取這些令牌的，因?yàn)檫@些令牌并不是由GitHub以其原始可用的格式進(jìn)行存儲(chǔ)的，"。

OAuth（開放授權(quán)）是一個(gè)開放標(biāo)準(zhǔn)的授權(quán)框架協(xié)議，主要用于互聯(lián)網(wǎng)上基于令牌的授權(quán)功能。它使得最終用戶的賬戶信息能夠被第三方服務(wù)所使用，如Facebook和谷歌。

Oauth并不分享憑證，而是使用授權(quán)令牌來進(jìn)行身份鑒定，并且作為一個(gè)中介來批準(zhǔn)一個(gè)應(yīng)用程序與另一個(gè)應(yīng)用程序之間進(jìn)行互動(dòng)。

攻擊者竊取或使用OAuth令牌進(jìn)行攻擊的安全事件并不少見。

微軟在2021年12月就曝出了一個(gè)Oauth的漏洞，各個(gè)應(yīng)用程序之間（Portfolios、O365 Secure Score和Microsoft Trust Service）容易出現(xiàn)認(rèn)證漏洞，使攻擊者可以接管Azure賬戶。為了使用該漏洞進(jìn)行攻擊，攻擊者首先會(huì)在OAuth提供者的框架中注冊(cè)他們的惡意應(yīng)用程序，使其URL重定向到釣魚網(wǎng)站。然后，攻擊者會(huì)向他們的目標(biāo)發(fā)送帶有OAuth授權(quán)URL的釣魚郵件。

攻擊者的行為分析

GitHub分析說，攻擊者使用了竊取的OAuth令牌對(duì)GitHub API進(jìn)行認(rèn)證，這些令牌是分發(fā)給Heroku和Travis CI賬戶的。它補(bǔ)充說，大多數(shù)受影響的人都是在他們的GitHub賬戶中授權(quán)了Heroku或Travis CI的OAuth應(yīng)用。網(wǎng)絡(luò)攻擊是有選擇性的，攻擊者克隆了感興趣的私人存儲(chǔ)庫(kù)。

Hanley說："這種行為模式表明，攻擊者只是針對(duì)特定的組織，并且有選擇性地下載私人存儲(chǔ)庫(kù)。GitHub認(rèn)為這些攻擊是有高度針對(duì)性的?！?/p>

GitHub表示，它正在向那些將Travis CI或Heroku OAuth應(yīng)用集成到GitHub賬戶的客戶發(fā)送最后通知。

4月12日，GitHub開始對(duì)被盜的令牌進(jìn)行調(diào)查，當(dāng)時(shí)GitHub安全部首次發(fā)現(xiàn)有人未經(jīng)授權(quán)使用被竊取的AWS API密鑰訪問NPM（Node Package Management）生產(chǎn)基礎(chǔ)設(shè)施。這些API密鑰是攻擊者使用被盜的OAuth令牌下載私有NPM存儲(chǔ)庫(kù)時(shí)獲得的。

NPM是一個(gè)用于通過npm包注冊(cè)表下載或發(fā)布節(jié)點(diǎn)包的工具。

發(fā)現(xiàn)攻擊后，Travis CI、Heroku和GitHub撤銷了OAuth令牌的訪問權(quán)，并建議受影響的組織監(jiān)測(cè)審計(jì)日志和用戶賬戶安全日志，防止惡意攻擊活動(dòng)的發(fā)生。

本文翻譯自：https://threatpost.com/github-repos-stolen-oauth-tokens/179427/如若轉(zhuǎn)載，請(qǐng)注明原文地址。

名稱欄目：攻擊者利用OAuth令牌竊取私人存儲(chǔ)庫(kù)數(shù)據(jù)
網(wǎng)站URL：http://m.fisionsoft.com.cn/article/dpogeee.html

新聞中心

攻擊者的行為分析

其他資訊