Twitter存在高危漏洞 黑客能获取Vine的全部源代码

7月25日讯Twitter存在高危漏洞,攻击者能从服务器下载VineVine是微软公司开发基于地理位置的SNS系统)全部源代码,此后Twitter5分钟时间修复了该漏洞。

安全研究员Avicoder发现这个漏洞,并于3月31日向Twitter反映情况。漏洞的核心在于Twitter员工使用不安全的Docker设置管理Vine的内容。

  联网Docker安装泄露Vine源代码

Docker是管理服务器镜像、创建、输送和管理应用程序的开放式平台。Docker可用来配置笔记本电脑、虚拟机或云服务等的OS镜像。

通常,由于Docker安装处理的内容敏感,因此Docker安装不供开放使用。Twitter的Docker安装则允许Avicoder探测查看能发现的一切。

更糟的是,Twitter未运行最新版的Docker(v2),而是用的旧API,v1。通过Docker API v1文档网站,Avicoder尝试所有能找到的命令发现可以执行的操作。

Avicoder发现一系列命令可用,包括搜索和检索Twitter Docker设置的内容。

研究员从Twitter Vine服务器下载超过80 Docker镜像

Avicoder能从Twitter Docker安装发现并下载超过80个服务器镜像。

Avicoder使用本地Docker客户端在笔记本电脑安装数个这些OS镜像后,他发现其中一个服务器镜像包含Vine服务的全部源代码。

Avicoder解释道,“我能看到Vine的全部源代码、API密钥以及第三方密钥和秘密数据。甚至运行镜像不需要任何参数,我能在本地托管Vine的副本。”

Avicoder向Twitter报告了漏洞,5分钟后,Docker安装被安全保护。Twitter为Avicoder给予10,080美元的漏洞报告奖金。

====================================分割线================================

本文转自d1net(转载)

时间: 2024-09-21 15:39:26

Twitter存在高危漏洞 黑客能获取Vine的全部源代码的相关文章

免费SSL工具有漏洞 黑客可获取任何域名的SSL证书

荷兰安全公司CompuTest的安全研究员Thijs Alkemade在以色列公司StarCom创建的发布免费SSL证书的工具StartEncrypt中发现多个设计和执行缺陷. StarCom受到Let's Encrypt项目的启发,在6月4日推出StarEncrypt项目.想要部署免费StartSSL证书的用户只需下载一个Linux客户端并将其上传 到服务器即可.这个客户端会执行一个域名验证流程,通知StartSSL服务,随后为运行在服务器上的域名发布并安装一个"扩展验证"SSL证书

女黑客发现Firefox高危漏洞获奖4000美元

近日,Mozilla发布了Firefox49.0版本,共修复了18个安全漏洞,其中包括一个来自360信息安全部Gear Team的女安全研究员"王大状",漏洞编号CVE-2016-5280,为此Mozilla基金会根据自身漏洞奖励给予该名女黑客4000美元的奖励.   女黑客发现Firefox高危漏洞 其CVE-2016-5280是一个UAF(Use-After-Free)漏洞,存在于dom/base/DirectionalityUtils.cpp中.当DOM节点的属性"di

游戏安全资讯精选 2017年第十期 英国彩票网遭遇DDoS攻击,中断90分钟 DNSMASQ多高危漏洞公告 阿里云协助警方破获国内最大黑客攻击案,攻击峰值690G

[本周游戏行业DDoS攻击态势] 国庆期间,针对游戏行业的DDoS攻击放缓,攻击者也在放"小长假",10月8日超过500G的攻击可视作攻击猛烈度恢复的表现. [游戏安全动态] 英国彩票网遭遇DDoS攻击,中断90分钟 点击查看原文 点评:10月7日,英国彩票网遭遇DDoS攻击,持续90分钟,造成大量的现金损失.攻击者在访问流量最高的周六瞄准英国最大的彩票网,可以预测是早有预谋.目前,官方还没有确认这起攻击是否与赎金有关,或者可能是经后更大攻击来袭的"前兆",也有可能

黑客围城:P2P高危漏洞占56% 创业者自曝被黑客敲诈经历

今年上半年,全国金融行业(含互联网金融)安全漏洞总量同比增长181.9%.根据中国权威第三方漏洞监测平台乌云网从2014年至2015年8月对P2P行业漏洞数量统计显示,高危漏洞占56.2%,中危漏洞占23.4%,低危漏洞占12.3%,其中8.1%被厂商忽略.除了系统安全漏洞,黑客攻击技术的升级仍然是网络安全最大的隐患. "中国P2P网贷成为网络安全的重灾区."中央财经大学金融学院教授郭田勇在接受<法制日报>记者采访时说. 2016年5月18日,全球最大黑客组织匿名者(Ano

游戏安全资讯精选 2017年 第四期:游戏行业上周最大DDoS流量超770G, 魔兽世界遭遇DDoS攻击,开源CMS Drupal 8发布更新修复多处高危漏洞补丁

  [每周行业DDoS攻击态势]     [游戏安全动态]  魔兽世界遭遇DDoS攻击.点击查看原文   概要:此次 DDoS 攻击实际是从周日的早上开始发生,暴雪发现问题后第一时间在 Twitter 上发出通知,"我们正在对于身份验证服务缓慢的原因进行调查."目前还没有个人或组织对此次 DDoS 事件负责,暴雪目前也还未公开更多攻击细节.(引用自Freebuf) 点评:阿里云安全团队也跟踪发现,暴雪被DDoS的时长近三小时.攻击最开始,登录服出现问题,接着是支付出现问题,并在1小时后

Gmail存高危漏洞,用户帐号可被轻松破解

日前,来自巴基斯坦的一名学生以及安全研究人员在Gmail上发现了一个高危漏洞,它可以让黑客轻松劫持任何Gmail邮箱帐号,这并不是巴基斯坦黑客第一次发现如此关键的漏洞. 众所周知,Gmail允许世界各地的用户使用多个邮件地址,并将其关联或链接到Gmail,Gmail允许用户设置转发地址(二级邮箱),这样在用户收到电子邮件的时候,他的转发邮箱也会收到相同的邮件,事实上,这两个模块是最容易受到身份认证和验证绕过攻击的.它类似于账户接管,不同的就是,黑客可以通过确认邮件的所有权来劫持Email并发送邮

西部数据My Cloud NAS设备存在高危漏洞,攻击者可获得完全控制权

本文讲的是西部数据My Cloud NAS设备存在高危漏洞,攻击者可获得完全控制权,万物互联的时代,没有哪家企业敢保证自家设备坚不可摧,安全无患.用户显然也较为无奈地接受科技进步带来的"反噬",享受便利的同时也时刻做好付出代价的准备.而此次中招的正是--西部数据My Cloud系列NAS设备. 据外媒报道,安全研究人员在西部数据My Cloud系列NAS设备上发现了严重的漏洞,可以被攻击者利用来获取受影响设备的root权限. 近日,西部数据公司网络附加储存装置NAS的用户都受到了安全警

加密软件 VeraCrypt 审计报告公布,发现多个高危漏洞

在 DuckDuckGo 和 VikingVPN 的资助下,QuarksLab 最近对开源加密软件 VeraCrypt 进行了安全审计.此次审计发现了 8个高危漏洞和 10 多个中低级别的漏洞. 关于VeraCrypt VeraCrypt 是一款非常流行的磁盘加密软件,它基于 TrueCrypt 7.1a 开发(在 2014 年 TrueCrypt 突然关闭之后才启动的这个项目),因此可以把它看成是 TrueCrypt 的分支 .在 TrueCrypt 停用之后,VeraCrypt 接过了 Tr

思科发布数个 NX-OS 高危漏洞更新

本周三,思科通告消费者,刚发布的几项产品更新修复了数个重大高危漏洞. 其中,最严重的一个漏洞与 NX-OS 网络操作系统上的一个不安全的默认凭据有关,影响运行该操作系统的思科 Nexus 3000 和 3500 系列交换机平台.这一漏洞编号为 CVE-2016-1329,黑客可利用某配有静态密码的默认账户获取 Root 权限,远程登录到存在漏洞的设备. 另一个问题是,用户无法在不影响系统功能的前提下,更改或移除这一在安装过程中创建的高危账号. 这一安全漏洞影响运行: NX-OS 6.0(2)U6