看推特公司怎么处理vine的这个漏洞?

640

这个浩渺的宇宙中,无奇不有,但你万万想不到的是竟然有人下载了Twitter Vine的完整源代码!

Vine是一个短视频分享服务,用户可以它分享一个时长为六秒的视频剪辑,推特在2012年10月份接受了这一服务并收购了其公司,也就是说用户在分享这个6秒的视频剪辑时可选择使用推特分享出去。但是它还有一些限制条件,用户只能使用Vine应用拍摄、分享视频,不能导入已有视频,并且时常只能限制在6秒。

来自印度的漏洞赏金猎人Avinash在Vine中发现了一个漏洞,利用这个漏洞他可以下载一个包含有Vine完整源代码的Docker镜像,而且不会触发任何安全保护机制。

Docker诞生在2014年6月份,它是一种新型的开源容器技术,开发者利用它可在老服务器上同时运行多个应用,还可以对应用进行打包,并将应用程序和相关的依赖包放到一个可移植的容器中,然后发布到任何流行的 Linux 机器上。

一般来说,Vine服务所使用的Docker镜像是不会对外公开的,但是事实却与之相反,任何人都可以通过网络获取到它。

Avinash在查找vine中的漏洞时,使用的是Censys搜索引擎。查询发现有80多个Docker镜像,他特意下载了一个名为’vinewww’的镜像。因为从网站服务器的命名惯例来看,这个镜像文件很可能代表的就是www目录,而这一目录中存放的一般都是网站应用的源代码。

下载完之后,他当即运行了Docker镜像“vinewww”,果不其然,真的能找到网站应用的源码,而且还找到了它的API密钥以及第三方服务的密钥和机密信息。

3月31日,这名23岁的赏金猎人将漏洞详情报告给了推特公司,并提供了完整漏洞利用演示视频。推特以此奖励了他10080美元的漏洞赏金,并在5分钟内修复了该漏洞。

原创文章,作者:Moto,如若转载,请注明出处:http://www.mottoin.com/news/85101.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code