首页 > 经济 > > 正文
2022-01-18 17:14:46

Bug使Vine的源代码公�

导读 一个错误允许安全研究人员下载Vine的完整源代码。在昵称Avicoder的指导下,研究人员在寻找可能导致6秒视频服务的bug奖励方案失败时发现了这

一个错误允许安全研究人员下载Vine的完整源代码。在昵称Avicoder的指导下,研究人员在寻找可能导致6秒视频服务的bug奖励方案失败时发现了这个漏洞。在博文中,Avicoder在检查了网站的安全措施后,发现了“期待已久的错误”。他对Vine的母网站Twitter很感兴趣,发现错误后很快就有了回报。

Bug使Vine的源代码公开化

Avicoder在使用名为Censys.io的工具后发现了一个子域。Docker.vineapp.com在浏览器中显示消息“/*私有docker注册表*/”。“如果它应该是私有的,为什么它可以公开访问?这里一定还有别的东西。在google/* Private docker注册表中搜索*/我知道docker提供了一个功能,允许开发人员通过网络托管和共享图像,”他说。“在确定Docker注册表没有使用最新版本(V2)并且端点与以前的版本不同后,我需要使用V1文档来访问它们。只有这样,我才能从服务器上获得一些有用的响应,”他补充道。

Avicoder然后使用Docker的API来查找服务器上的资源。他注意到一个名为“vinewww”的发展图像。下载代码允许bug猎人从他的计算机上运行他自己的Vine副本。

这段代码使研究人员能够在错误的人手中访问可能被恶意使用的应用编程接口密钥。黑客可以用这些密钥登录其他网站冒充Vine。

Avicoder在3月21日报告了该漏洞,并在3月31日向推特提供了更多细节。在五分钟内修正了这个错误。Avicoder从bug奖励计划中获得了10,080美元。

滕被要求对这个故事发表评论,但在写这篇文章时,它没有回应。