gitee 码云私有仓库不可靠啊!配置文件的帐号密码一样泄漏!

2020-05-26 12:10:47 +08:00
 coderabbit

最近阿里云一直给我发漏洞邮件。我基本都不看的,但今天早上我看了下是我的一个 PHP 被人 fock 后拿去使用。我按阿里云上给的地址打开。好家伙完完整整的展现在我眼前所有配置的帐号密码都在!连接数据库也能连接!真是坑啊!然后我仔细一看我没有登陆 gitee 我准备登陆后联系对方。却发现登陆后这个仓库是个私有的仓库,既然是私有仓库我居然能看到配置。太坑啦!大伙最好别把你们的配置文件的帐号密码放在 gitee 了!

https://imgchr.com/i/tP5sl4 https://imgchr.com/i/tP5y6J https://imgchr.com/i/tP5fk6

10763 次点击
所在节点    程序员
59 条回复
zoharSoul
2020-05-26 13:50:27 +08:00
@zoharSoul 果然满屏幕叹号的,表达总是抓不到重点.

直接放出来有问题的仓库连接不就明明白白的.,讲了半天账号密码干啥?说的仿佛如果有问题,不是账号密码就没问题一样.
zoker
2020-05-26 13:51:27 +08:00
热心网友发送的链接,所以来回复下

1. 私有仓库只有仓库成员可见
2. Gitee 之前有一个功能,就是 Fork 的时候可以选择是否添加主仓成员进去,但这个功能后面下了,不知道是不是他 Fork 的时候把你加进去了,这个需要你确认,或者你提供相关信息给我,我来帮你确认
3. 不仅是 Gitee,不要把你的密码放到任何托管平台上,只要放了,就不安全,隐私信息本来就不该与代码放到一块
a62527776a
2020-05-26 13:52:15 +08:00
@oschina 欸 官方来了
lasuar
2020-05-26 14:01:11 +08:00
@oschina 他说的是他看到了对方的私有仓库,所以我建议他把地址贴出来给大家看看,这没毛病把
oschina
2020-05-26 14:02:41 +08:00
@lasuar 没毛病
normalcoder
2020-05-26 14:06:00 +08:00
重中之重:如果遇到密钥信息泄漏,第一时间修改和停用相关密钥。

然后接着来看下面的东西。。。

关于仓库权限:

1 、个人的仓库如果是私有仓库,除了仓库成员外是不可能被看到的。 @coderabbit 能访问说明有几种可能:要么是个公开库,要么 @coderabbit 是仓库成员。

2 、上文中「然后我仔细一看我没有登陆 gitee 我准备登陆后联系对方。却发现登陆后这个仓库是个私有的仓库」这句话也相当的诡异,未登录能访问登陆后反而不能访问?未登录情况下访问私有库会返回 403 页面。登录后如果没有权限也会是 403 页面。何来上面这一说。。


https://imgchr.com/i/tP5y6J 一图看到,阿里云在 GitHub 上观测到来自于 Gitee 的泄漏的什么内容。。可惜截图被打码,未能明确是泄露了啥。猜测应该是跟阿里云 AK/SK 有关,那从截图反馈是阿里云通知的,泄密的信息可能跟 @coderabbit 有关联关系。把密码密钥这种敏感信息存在仓库内的确是不明智且不合理的操作方式。而且还被 Fork 了。。

遇到这种问题的处理方式上面 @zoker 的建议还是比较中肯。
zoharSoul
2020-05-26 14:14:02 +08:00
@normalcoder

说的很对..

楼主的描述要是有你这么条理清洗就好了.
arthas2234
2020-05-26 14:14:54 +08:00
配置文件都加到 gitignore 里或者加密配置文件
GoRoad
2020-05-26 14:35:44 +08:00
惊现码云开发组大佬
EminemW
2020-05-26 15:04:13 +08:00
@normalcoder #26
[2 、上文中「然后我仔细一看我没有登陆 gitee 我准备登陆后联系对方。却发现登陆后这个仓库是个私有的仓库」这句话也相当的诡异,未登录能访问登陆后反而不能访问?未登录情况下访问私有库会返回 403 页面。登录后如果没有权限也会是 403 页面。何来上面这一说。。]

楼主的意思是,对方的 fork 的仓库是公有仓库,自己登陆账号后,发现自己的仓库是私有的。
Exin
2020-05-26 15:20:45 +08:00
Gitee 的获取文件列表的 API 也不太安全,不提供 token 也会返回完整的私有仓库文件列表
dbw9580
2020-05-26 15:23:27 +08:00
看完 30 楼,我依旧不知道泄漏的是谁的数据库连接凭证。。
是楼主的?那楼主把凭证写在代码里,然后代码仓库公开,却说 gitee 泄漏用户的凭证?
是 fork 楼主代码的人的?那为何接到阿里云邮件告警的是楼主?
shintendo
2020-05-26 15:30:59 +08:00
@EminemW 我看楼主的意思是,他的库是公开的,对方 fork 的库是私有的
coderabbit
2020-05-26 16:20:44 +08:00
@dbw9580
@oschina

再说一次再说一次,不是我的仓库不是我的仓库不是我的仓库,泄露的不是我的帐号和密码。是别人的,别人的是私有项目,私有项目,私有项目。我不是他的成员我没有加入他的项目里面去!是他的配置文件里有帐号密码,阿里云给我发邮件。我打开邮件中的地址直接看到的内容。内容图片我打码发出来了!我没有登陆之前我确实看到了。我登陆后就无法查看资源了!@oschina 不可能在我发现到登陆这几十秒中对方就把仓库设置为私有这么巧的事儿???现在阿里云邮件中的地址我再打开已经提示 资源不存在或者没有访问权限!
coderabbit
2020-05-26 16:24:49 +08:00
@normalcoder 阿里云邮件打码的是对方仓库地址我肯定要打码。另一个打码是对方仓库配置文件里的帐号密码我也肯定要打码。那些叫我把地址贴出来的,真是看热闹不嫌事大!我没有登陆前确实看到并截图下来了!登陆后再看就是提示 资源不存在或者没有访问权限。难道我在发现截图到登陆几十秒对方就设置为私有仓库了???哪有这么巧的事儿?
coderabbit
2020-05-26 16:38:19 +08:00
@favourstreet 我知道为什么阿里云会给我发邮件!我登陆阿里云后台看了在 3 月 21 号就发邮件提醒我了,之前一直都是阿里云安全中心提示什么漏洞管理,我就一台渣渣服务器我也没管它!刚看了 2017 年我用了阿里云 oss,把 key 丢在项目里作为演示测试的。对方并没有删除这个 key 导致阿里云给我发邮件,我再邮件地址里打开看到了!然后看到里面的数据库帐号密码等信息!
kanglo
2020-05-26 16:39:55 +08:00
你这算啥,我从 GitHub 导入的 v2ray 仓库直接给我删了
leonardyang
2020-05-26 16:43:37 +08:00
看描述,是链接跳转过去的页面能越权看到对方的私有仓库内容吧,这是个严重的越权漏洞了
putaozhenhaochi
2020-05-26 16:46:06 +08:00
炸出好多 OSCHINA 开发
DDounx
2020-05-26 16:48:08 +08:00
讲道理,即使是私有的库,也不应该把私钥什么的放上去。lz 那个链接现在应该是没有权限进去了,如果是这样的话可以把链接发出来给码云的开发大佬看看。 @zoker

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/675553

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX