未分類
23 5 月 2020

gitee 码云私有仓库不可靠啊!配置文件的帐号密码一样泄漏!

gitee 码云私有仓库不可靠啊!配置文件的帐号密码一样泄漏!

資深大佬 : coderabbit 3

最近阿里云一直给我发漏洞邮件。我基本都不看的,但今天早上我看了下是我的一个 PHP 被人 fock 后拿去使用。我按阿里云上给的地址打开。好家伙完完整整的展现在我眼前所有配置的帐号密码都在!连接数据库也能连接!真是坑啊!然后我仔细一看我没有登陆 gitee 我准备登陆后联系对方。却发现登陆后这个仓库是个私有的仓库,既然是私有仓库我居然能看到配置。太坑啦!大伙最好别把你们的配置文件的帐号密码放在 gitee 了!

gitee 码云私有仓库不可靠啊!配置文件的帐号密码一样泄漏! gitee 码云私有仓库不可靠啊!配置文件的帐号密码一样泄漏! gitee 码云私有仓库不可靠啊!配置文件的帐号密码一样泄漏!

https://imgchr.com/i/tP5sl4 https://imgchr.com/i/tP5y6J https://imgchr.com/i/tP5fk6

大佬有話說 (56)

  • 資深大佬 : micean

    试了以下未登录访问自己的私有库文件,没啥问题啊

  • 資深大佬 : legiorange

    @micean 能被采集到

  • 資深大佬 : labulaka521

    还是存储到 github 吧,国内的不可靠

  • 資深大佬 : wizardoz

    国内几家各种改来改去,烦了,累了。自建 gitlab 了。

  • 資深大佬 : superrichman

    这个仓库是先被 fork 再设的私有还是设了私有之后还被 fork 的?

  • 資深大佬 : lasuar

    私有仓库被别人怎么 fork ?看不到啊

  • 資深大佬 : lasuar

    你说的这个是 P1 级的产品 BUG,你确定是设置私有仓库后被别人 fork 了吗?

  • 資深大佬 : lasuar

    应该是 P0 级

  • 資深大佬 : favourstreet

    不看阿里云的报警这也太心大了。别说 gitee 了,把 AK/SK 之类的东西明文放到公网上,别管什么地方,都要提前留一手,侥幸心理害人……

  • 資深大佬 : redtea

    数据库直接连接不加跳板吗?

  • 資深大佬 : Mithril

    私库不登陆还能看是什么鬼操作。。。这玩意难道不算 0 级 bug ?

  • 資深大佬 : luob

    有一说一,无论私有公开,所有的代码文件都应当保持随时可以被开源的状态。生产环境的密码只能出现在生产环境,不应该出现在其他任何地方。

  • 資深大佬 : coderabbit

    @superrichman 我的仓库公有,别人的私有!我能看到别人私有的项目代码!然后我好奇的连接配置账号密码正确!
    @lasuar 我的是共有的,对方的私有…

  • 資深大佬 : imn1

    @coderabbit #13
    你应该加个 append
    就是说你自己没放账号密码,但你检视对方私有库时却看到对方的账号密码?

  • 資深大佬 : lasuar

    @coderabbit 你的密码改了吧,把对方的仓库地址贴一下

  • 資深大佬 : kylix

    gitee 反正我是不敢用的,个人观点

  • 資深大佬 : Mithril

    @kylix 他们家已经出了好几次问题了吧

  • 資深大佬 : oschina

    私有仓库,只要对方把你加到他的仓库成员,就可以访问,否则你永远访问不到私有仓库!!!

  • 資深大佬 : oschina

    任何 Gitee 的私有项目都不可能被采集到,从你的截图可以看到你是一个公开项目。

  • 資深大佬 : zoharSoul

    什么乱七八糟的

  • 資深大佬 : zoharSoul

    @zoharSoul 果然满屏幕叹号的,表达总是抓不到重点.

    直接放出来有问题的仓库连接不就明明白白的.,讲了半天账号密码干啥?说的仿佛如果有问题,不是账号密码就没问题一样.

  • 資深大佬 : zoker

    热心网友发送的链接,所以来回复下

    1. 私有仓库只有仓库成员可见
    2. Gitee 之前有一个功能,就是 Fork 的时候可以选择是否添加主仓成员进去,但这个功能后面下了,不知道是不是他 Fork 的时候把你加进去了,这个需要你确认,或者你提供相关信息给我,我来帮你确认
    3. 不仅是 Gitee,不要把你的密码放到任何托管平台上,只要放了,就不安全,隐私信息本来就不该与代码放到一块

  • 資深大佬 : a62527776a

    @oschina 欸 官方来了

  • 資深大佬 : lasuar

    @oschina 他说的是他看到了对方的私有仓库,所以我建议他把地址贴出来给大家看看,这没毛病把

  • 資深大佬 : oschina

    @lasuar 没毛病

  • 資深大佬 : normalcoder

    重中之重:如果遇到密钥信息泄漏,第一时间修改和停用相关密钥。

    然后接着来看下面的东西。。。

    关于仓库权限:

    1 、个人的仓库如果是私有仓库,除了仓库成员外是不可能被看到的。 @coderabbit 能访问说明有几种可能:要么是个公开库,要么 @coderabbit 是仓库成员。

    2 、上文中「然后我仔细一看我没有登陆 gitee 我准备登陆后联系对方。却发现登陆后这个仓库是个私有的仓库」这句话也相当的诡异,未登录能访问登陆后反而不能访问?未登录情况下访问私有库会返回 403 页面。登录后如果没有权限也会是 403 页面。何来上面这一说。。

    从 https://imgchr.com/i/tP5y6J 一图看到,阿里云在 GitHub 上观测到来自于 Gitee 的泄漏的什么内容。。可惜截图被打码,未能明确是泄露了啥。猜测应该是跟阿里云 AK/SK 有关,那从截图反馈是阿里云通知的,泄密的信息可能跟 @coderabbit 有关联关系。把密码密钥这种敏感信息存在仓库内的确是不明智且不合理的操作方式。而且还被 Fork 了。。

    遇到这种问题的处理方式上面 @zoker 的建议还是比较中肯。

  • 資深大佬 : zoharSoul

    @normalcoder

    说的很对..

    主的描述要是有你这么条理清洗就好了.

  • 資深大佬 : arthas2234

    配置文件都加到 gitignore 里或者加密配置文件

  • 資深大佬 : GoRoad

    惊现码云开发组大佬

  • 資深大佬 : EminemW

    @normalcoder #26
    [2 、上文中「然后我仔细一看我没有登陆 gitee 我准备登陆后联系对方。却发现登陆后这个仓库是个私有的仓库」这句话也相当的诡异,未登录能访问登陆后反而不能访问?未登录情况下访问私有库会返回 403 页面。登录后如果没有权限也会是 403 页面。何来上面这一说。。]

    主的意思是,对方的 fork 的仓库是公有仓库,自己登陆账号后,发现自己的仓库是私有的。

  • 資深大佬 : Exin

    Gitee 的获取文件列表的 API 也不太安全,不提供 token 也会返回完整的私有仓库文件列表

  • 資深大佬 : dbw9580

    看完 30 ,我依旧不知道泄漏的是谁的数据库连接凭证。。
    是主的?那主把凭证写在代码里,然后代码仓库公开,却说 gitee 泄漏用户的凭证?
    是 fork 主代码的人的?那为何接到阿里云邮件告警的是主?

  • 資深大佬 : shintendo

    @EminemW 我看主的意思是,他的库是公开的,对方 fork 的库是私有的

  • 資深大佬 : coderabbit

    @dbw9580
    @oschina

    再说一次再说一次,不是我的仓库不是我的仓库不是我的仓库,泄露的不是我的帐号和密码。是别人的,别人的是私有项目,私有项目,私有项目。我不是他的成员我没有加入他的项目里面去!是他的配置文件里有帐号密码,阿里云给我发邮件。我打开邮件中的地址直接看到的内容。内容图片我打码发出来了!我没有登陆之前我确实看到了。我登陆后就无法查看资源了!@oschina 不可能在我发现到登陆这几十秒中对方就把仓库设置为私有这么巧的事儿???现在阿里云邮件中的地址我再打开已经提示 资源不存在或者没有访问权限!

  • 資深大佬 : coderabbit

    @normalcoder 阿里云邮件打码的是对方仓库地址我肯定要打码。另一个打码是对方仓库配置文件里的帐号密码我也肯定要打码。那些叫我把地址贴出来的,真是看热闹不嫌事大!我没有登陆前确实看到并截图下来了!登陆后再看就是提示 资源不存在或者没有访问权限。难道我在发现截图到登陆几十秒对方就设置为私有仓库了???哪有这么巧的事儿?

  • 資深大佬 : coderabbit

    @favourstreet 我知道为什么阿里云会给我发邮件!我登陆阿里云后台看了在 3 月 21 号就发邮件提醒我了,之前一直都是阿里云安全中心提示什么漏洞管理,我就一台渣渣服务器我也没管它!刚看了 2017 年我用了阿里云 oss,把 key 丢在项目里作为演示测试的。对方并没有删除这个 key 导致阿里云给我发邮件,我再邮件地址里打开看到了!然后看到里面的数据库帐号密码等信息!

  • 資深大佬 : kanglo

    你这算啥,我从 GitHub 导入的 v2ray 仓库直接给我删了

  • 資深大佬 : leonardyang

    看描述,是链接跳转过去的页面能越权看到对方的私有仓库内容吧,这是个严重的越权漏洞了

  • 資深大佬 : putaozhenhaochi

    炸出好多 OSCHINA 开发

  • 資深大佬 : DDounx

    讲道理,即使是私有的库,也不应该把私钥什么的放上去。lz 那个链接现在应该是没有权限进去了,如果是这样的话可以把链接发出来给码云的开发大佬看看。 @zoker

  • 資深大佬 : murmur

    @putaozhenhaochi 这说明 gitee 有客服,而且还经常刷 v2,好事

  • 資深大佬 : putaozhenhaochi

    @murmur 确实挺好的。 记得上次有个帖子说思否社区的。也是几位创始人都出现了。说明对用户还是很重视的

  • 資深大佬 : normalcoder

    @kanglo 一般这种事情已发生大家就知道最近要开会了

  • 資深大佬 : normalcoder

    @kanglo 一般这种事情一发生大家就知道最近要开会了

  • 資深大佬 : techme

    这是个 bug ?竟然是这种方式被发现

  • 資深大佬 : Phariel

    上网无隐私 咋就偏不信邪呢 私人仓库也是在线产品啊

  • 資深大佬 : lzyliangzheyu

    自己一个人的东西本地自建了 gitea,公网 22 端口和 3000 端口映射,自带 sqllite3,反正用户只有我一个人,不涉及并发。。够用了

  • 資深大佬 : kanglo

    @normalcoder 不知道你是什么系统欸,我 windows 用的自带的微软拼音,linux 可以试试 rime

  • 資深大佬 : cozof

    同#37 ,之前也几个项目放码云,其中一个不知道哪天被删了,挺正常的一个私有项目,不是 v2ray 之类的。

    前段时间登录了下登录不了,发现下面一行小字提示要绑定手机号 就不用码云了,还是用 GitHub 吧。

  • 資深大佬 : lyyhello

    我话几十万人民币买的教训 不能把 key 放在公网上面 即使是私有的

  • 資深大佬 : bequt

    越权漏洞。。。。不知道企业那边还稳么,慌得一笔。

  • 資深大佬 : binux

    @coderabbit
    > 我登陆后就无法查看资源了
    那你退出登录再点一次链接还能看到不?

  • 資深大佬 : sobigfish

    官方都让(授权)你发地址了, 发, 怕啥, 看热闹不嫌事大也是他的问题了

  • 資深大佬 : pinews

    主是不是有多个账号?

  • 資深大佬 : cco

    你可能赶上了一个很难复现的漏洞。
    还有就是配置文件尽量不要上传到仓库,如果非要上传,请做好加密。

  • 資深大佬 : locoz

    看了一天了,主真是挺奇怪的。在这种官方人员都在,并且也愿意看看是啥问题的情况下,既不留联系方式(哪怕是让官方人员给个联系方式都可以)又不给出链接,然后图里又看不出是否是私有仓库、是否是未登录状态,也没有说自己有没有试过是否可以复现…这个说重点的能力是真的不行,完全给不出有用的信息。

    单从这帖子里给出的信息来看,官方既没法得到准确的问题点、又没法得知 BUG 是否真实存在,还不知道是不是个可以复现的“BUG”,可以说是个提 BUG 的典型反面教材了。(甚至某些方面来讲更像是造谣…