一个值1万美元奖励的GitHub 登录欺骗漏洞

发布于 作者:

一个值1万美元奖励的GitHub 登录欺骗漏洞

Jessica Haworth 代码卫士 2022-10-25 20:06

聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

安全研究员 Saajan Bhujel 发现了欺骗GitHub 登录接口的方法,并借此获得1万美元的漏洞奖励金。

Bhujel 发现可通过一个绕过更改该网站的CSS,从而诱骗用户登录至虚假页面。GitHub 使用开源JavaScript 显示引擎 MathJax 进行 LaTeX、MathML 和 AsciiMath进行标记。用户可通过MathJax 库在Markdown 中渲染或显示数学表达式。

Bhujel 发现,通过注入过滤且删除的恶意标记可绕过MathJax的HTML过滤,之后注入表单元素,欺骗GitHub 登录接口。他通过一种不同技术将问题告知GitHub,当GitHub 发现他的提交重复时,Bhujel 使用另外的技术使自己找到了该绕过。

Bhujel表示获得1万美元的奖励“非常高兴”,尽管最初将其定为低危级别而上报。

代码卫士试用地址:
https://codesafe.qianxin.com

开源卫士试用地址:
https://oss.qianxin.com

推荐阅读

GitHub 2019年漏洞奖励计划最值得回顾的2个精彩 bug

GitHub 推出“安全实验室”和漏洞奖励计划,提升开源生态系统安全

五周年庆:GitHub 漏洞奖励计划扩大范围提高赏金

原文链接

https://portswigger.net/daily-swig/login-spoofing-issue-in-github-nets-researcher-10k-bug-bounty-reward

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个 “
在看
” 或 “

” 吧~