elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el Twitter! de elhacker.NET


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Experto hackea repositorios privados de GitHub combinando cinco fallos de ...
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Experto hackea repositorios privados de GitHub combinando cinco fallos de ...  (Leído 2,006 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.662



Ver Perfil WWW
Experto hackea repositorios privados de GitHub combinando cinco fallos de ...
« en: 10 Febrero 2014, 01:14 am »

Ahora que GitHub ha lanzado un programa de recompensas por errores, muchos investigadores de seguridad están tratando de encontrar fallos en el repositorio de código. Uno de ellos es Egor Homakov, quien ha logrado acceder a repositorios privados de GitHub usando una combinación de 5 fallos de baja gravedad.

http://news.softpedia.com/images/news-700/Expert-Hacks-Private-Repositories-on-GitHub-by-Combining-5-Low-Severity-Bugs.jpg

Por separado, las 5 vulnerabilidades no pueden ser explotadas para causar mucho daño, pero al ser combinadas dan lugar a una explotación de alta gravedad.

GitHub parcheó las vulnerabilidades poco después de que fueran reportadas por el experto en seguridad. Homakov ha sido recompensado con 4.000$ (2.935€), que representa el mayor pago ofrecido por GitHub hasta ahora.

Los agujeros de seguridad, según lo descrito por GitHub, son una redirección abierta parcial de OAuth, un bypass de Gist Camo que permite fugas de referente, abuso de caché de markdown para omitir el atributo rel nonreferer en enlaces privados de Gist, token de Gist OAuth almacenado en una sesión de CookieSession y una aprobación automática de alcance arbitrario de OAuth para Gist.

Detalles técnicos adicionales están disponibles en el blog de Homakov y en Reddit.

http://news.softpedia.es/Experto-hackea-repositorios-privados-de-GitHub-combinando-cinco-fallos-de-baja-gravedad-425215.html


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines