这是一个创建于 1964 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近阿里云一直给我发漏洞邮件。我基本都不看的,但今天早上我看了下是我的一个 PHP 被人 fock 后拿去使用。我按阿里云上给的地址打开。好家伙完完整整的展现在我眼前所有配置的帐号密码都在!连接数据库也能连接!真是坑啊!然后我仔细一看我没有登陆 gitee 我准备登陆后联系对方。却发现登陆后这个仓库是个私有的仓库,既然是私有仓库我居然能看到配置。太坑啦!大伙最好别把你们的配置文件的帐号密码放在 gitee 了!
https://imgchr.com/i/tP5sl4 https://imgchr.com/i/tP5y6J https://imgchr.com/i/tP5fk6
第 1 条附言 2020-05-26 16:25:31 +08:00
那个仓库不是我的,我截出来的配置也不是我的帐号密码!
阿里云邮件打码的是对方仓库地址我肯定要打码。另一个打码是对方仓库配置文件里的帐号密码我也肯定要打码。那些叫我把地址贴出来的,真是看热闹不嫌事大!我没有登陆前确实看到并截图下来了!登陆后再看就是提示 资源不存在或者没有访问权限。难道我在发现截图到登陆几十秒对方就设置为私有仓库了???哪有这么巧的事儿?
阿里云邮件打码的是对方仓库地址我肯定要打码。另一个打码是对方仓库配置文件里的帐号密码我也肯定要打码。那些叫我把地址贴出来的,真是看热闹不嫌事大!我没有登陆前确实看到并截图下来了!登陆后再看就是提示 资源不存在或者没有访问权限。难道我在发现截图到登陆几十秒对方就设置为私有仓库了???哪有这么巧的事儿?
 | 1 micean 2020-05-26 12:31:36 +08:00 试了以下未登录访问自己的私有库文件,没啥问题啊 |
 | 2 legiorange 2020-05-26 12:33:54 +08:00 @micean 能被采集到 |
 | 3 labulaka521 2020-05-26 12:41:59 +08:00 还是存储到 github 吧,国内的不可靠 |
 | 4 wizardoz 2020-05-26 12:47:39 +08:00 国内几家各种改来改去,烦了,累了。自建 gitlab 了。 |
 | 5 superrichman 2020-05-26 12:49:46 +08:00 via iPhone 这个仓库是先被 fork 再设的私有还是设了私有之后还被 fork 的? |
 | 6 lasuar 2020-05-26 12:50:20 +08:00 私有仓库被别人怎么 fork ?看不到啊 |
| 7 lasuar 2020-05-26 12:51:22 +08:00 你说的这个是 P1 级的产品 BUG,你确定是设置私有仓库后被别人 fork 了吗? |
| 8 lasuar 2020-05-26 12:51:48 +08:00 应该是 P0 级 |
 | 9 favourstreet 2020-05-26 12:52:27 +08:00 via Android 不看阿里云的报警这也太心大了。别说 gitee 了,把 AK/SK 之类的东西明文放到公网上,别管什么地方,都要提前留一手,侥幸心理害人…… |
 | 10 redtea 2020-05-26 12:57:26 +08:00 数据库直接连接不加跳板吗? |
 | 11 Mithril 2020-05-26 13:00:10 +08:00 私库不登陆还能看是什么鬼操作。。。这玩意难道不算 0 级 bug ? |
 | 12 luob 2020-05-26 13:01:46 +08:00 via iPhone  2 有一说一,无论私有公开,所有的代码文件都应当保持随时可以被开源的状态。生产环境的密码只能出现在生产环境,不应该出现在其他任何地方。 |
 | 13 coderabbit OP |
 | 14 imn1 2020-05-26 13:11:27 +08:00 |
| 15 lasuar 2020-05-26 13:36:32 +08:00 @coderabbit 你的密码改了吧,把对方的仓库地址贴一下 |
 | 16 kylix 2020-05-26 13:37:31 +08:00 gitee 反正我是不敢用的,个人观点 |
 | 18 oschina 2020-05-26 13:43:58 +08:00 私有仓库,只要对方把你加到他的仓库成员,就可以访问,否则你永远访问不到私有仓库!!! |
| 19 oschina 2020-05-26 13:45:56 +08:00 任何 Gitee 的私有项目都不可能被采集到,从你的截图可以看到你是一个公开项目。 |
 | 20 zoharSoul 2020-05-26 13:48:11 +08:00 什么乱七八糟的 |
| 21 zoharSoul 2020-05-26 13:50:27 +08:00 8 |
 | 22 zoker 2020-05-26 13:51:27 +08:00 via Android 热心网友发送的链接,所以来回复下 1. 私有仓库只有仓库成员可见 2. Gitee 之前有一个功能,就是 Fork 的时候可以选择是否添加主仓成员进去,但这个功能后面下了,不知道是不是他 Fork 的时候把你加进去了,这个需要你确认,或者你提供相关信息给我,我来帮你确认 3. 不仅是 Gitee,不要把你的密码放到任何托管平台上,只要放了,就不安全,隐私信息本来就不该与代码放到一块 |
 | 23 a62527776a 2020-05-26 13:52:15 +08:00 @oschina 官方来了 |
 | 26 normalcoder 2020-05-26 14:06:00 +08:00 2 重中之重:如果遇到密钥信息泄漏,第一时间修改和停用相关密钥。 然后接着来看下面的东西。。。 关于仓库权限: 1 、个人的仓库如果是私有仓库,除了仓库成员外是不可能被看到的。 @coderabbit 能访问说明有几种可能:要么是个公开库,要么 @coderabbit 是仓库成员。 2 、上文中「然后我仔细一看我没有登陆 gitee 我准备登陆后联系对方。却发现登陆后这个仓库是个私有的仓库」这句话也相当的诡异,未登录能访问登陆后反而不能访问?未登录情况下访问私有库会返回 403 页面。登录后如果没有权限也会是 403 页面。何来上面这一说。。 从 https://imgchr.com/i/tP5y6J 一图看到,阿里云在 GitHub 上观测到来自于 Gitee 的泄漏的什么内容。。可惜截图被打码,未能明确是泄露了啥。猜测应该是跟阿里云 AK/SK 有关,那从截图反馈是阿里云通知的,泄密的信息可能跟 @coderabbit 有关联关系。把密码密钥这种敏感信息存在仓库内的确是不明智且不合理的操作方式。而且还被 Fork 了。。 遇到这种问题的处理方式上面 @zoker 的建议还是比较中肯。 |
| 27 zoharSoul 2020-05-26 14:14:02 +08:00 |
 | 28 strong>arthas2234 2020-05-26 14:14:54 +08:00 配置文件都加到 gitignore 里或者加密配置文件 |
 | 29 GoRoad 2020-05-26 14:35:44 +08:00 1 惊现码云开发组大佬 |
 | 30 EminemW 2020-05-26 15:04:13 +08:00 @normalcoder #26 [2 、上文中「然后我仔细一看我没有登陆 gitee 我准备登陆后联系对方。却发现登陆后这个仓库是个私有的仓库」这句话也相当的诡异,未登录能访问登陆后反而不能访问?未登录情况下访问私有库会返回 403 页面。登录后如果没有权限也会是 403 页面。何来上面这一说。。] 楼主的意思是,对方的 fork 的仓库是公有仓库,自己登陆账号后,发现自己的仓库是私有的。 |
 | 31 Exin 2020-05-26 15:20:45 +08:00 Gitee 的获取文件列表的 API 也不太安全,不提供 token 也会返回完整的私有仓库文件列表 |
 | 32 dbw9580 2020-05-26 15:23:27 +08:00 via Android 看完 30 楼,我依旧不知道泄漏的是谁的数据库连接凭证。。 是楼主的?那楼主把凭证写在代码里,然后代码仓库公开,却说 gitee 泄漏用户的凭证? 是 fork 楼主代码的人的?那为何接到阿里云邮件告警的是楼主? |
| 34 coderabbit OP |
| 35 coderabbit OP @normalcoder 阿里云邮件打码的是对方仓库地址我肯定要打码。另一个打码是对方仓库配置文件里的帐号密码我也肯定要打码。那些叫我把地址贴出来的,真是看热闹不嫌事大!我没有登陆前确实看到并截图下来了!登陆后再看就是提示 资源不存在或者没有访问权限。难道我在发现截图到登陆几十秒对方就设置为私有仓库了???哪有这么巧的事儿? |
| 36 coderabbit OP @favourstreet 我知道为什么阿里云会给我发邮件!我登陆阿里云后台看了在 3 月 21 号就发邮件提醒我了,之前一直都是阿里云安全中心提示什么漏洞管理,我就一台渣渣服务器我也没管它!刚看了 2017 年我用了阿里云 oss,把 key 丢在项目里作为演示测试的。对方并没有删除这个 key 导致阿里云给我发邮件,我再邮件地址里打开看到了!然后看到里面的数据库帐号密码等信息! |
 | 37 kanglo 2020-05-26 16:39:55 +08:00 你这算啥,我从 GitHub 导入的 v2ray 仓库直接给我删了 |
 | 38 leonardyang 2020-05-26 16:43:37 +08:00 看描述,是链接跳转过去的页面能越权看到对方的私有仓库内容吧,这是个严重的越权漏洞了 |
 | 39 putaozhenhaochi 2020-05-26 16:46:06 +08:00 via Android 炸出好多 OSCHINA 开发 |
 | 40 DDounx 2020-05-26 16:48:08 +08:00 讲道理,即使是私有的库,也不应该把私钥什么的放上去。lz 那个链接现在应该是没有权限进去了,如果是这样的话可以把链接发出来给码云的开发大佬看看。 @zoker |
 | 41 murmur 2020-05-26 16:49:11 +08:00 @putaozhenhaochi 这说明 gitee 有客服,而且还经常刷 v2,好事 |
| 42 putaozhenhaochi 2020-05-26 16:52:58 +08:00 via Android @murmur 确实挺好的。 记得上次有个帖子说思否社区的。也是几位创始人都出现了。说明对用户还是很重视的 |
| 43 normalcoder 2020-05-26 17:43:16 +08:00 @kanglo 一般这种事情已发生大家就知道最近要开会了 。这种东西不公开就不会有问题。 |
| 44 normalcoder 2020-05-26 17:45:44 +08:00 |
 | 45 techme 2020-05-26 17:51:38 +08:00 这是个 bug ?竟然是这种方式被发现 |
 | 46 Phariel 2020-05-26 17:53:14 +08:00 via iPhone 上网无隐私 咋就偏不信邪呢 私人仓库也是在线产品啊 |
 | 47 lzyliangzheyu 2020-05-26 17:58:56 +08:00 自己一个人的东西本地自建了 gitea,公网 22 端口和 3000 端口映射,自带 sqllite3,反正用户只有我一个人,不涉及并发。。够用了 |
| 48 kanglo 2020-05-26 18:36:49 +08:00 @normalcoder 不知道你是什么系统,我 windows 用的自带的微软拼音,linux 可以试试 rime |
 | 49 cozof 2020-05-26 18:38:31 +08:00 via iPhone 同#37 楼,之前也几个项目放码云,其中一个不知道哪天被删了,挺正常的一个私有项目,不是 v2ray 之类的。 前段时间登录了下登录不了,发现下面一行小字提示要绑定手机号 就不用码云了,还是用 GitHub 吧。 |
 | nbsp; 50 lyyhello 2020-05-26 20:18:06 +08:00 我话几十万人民币买的教训 不能把 key 放在公网上面 即使是私有的 |
 | 51 bequt 2020-05-26 21:05:42 +08:00 越权漏洞。。。。不知道企业那边还稳么,慌得一笔。 |
 | 52 binux 2020-05-26 21:13:54 +08:00 via Android |
 | 53 run2 2020-05-26 21:24:33 +08:00 官方都让(授权)你发地址了, 发, 怕啥, 看热闹不嫌事大也是他的问题了 |
 | 54 pinews 2020-05-26 22:03:48 +08:00 楼主是不是有多个账号? |
 | 55 cco 2020-05-27 09:12:11 +08:00 你可能赶上了一个很难复现的漏洞。 还有就是配置文件尽量不要上传到仓库,如果非要上传,请做好加密。 |
 | 56 locoz 2020-05-27 11:34:36 +08:00 2 看了一天了,楼主真是挺奇怪的。在这种官方人员都在,并且也愿意看看是啥问题的情况下,既不留联系方式(哪怕是让官方人员给个联系方式都可以)又不给出链接,然后图里又看不出是否是私有仓库、是否是未登录状态,也没有说自己有没有试过是否可以复现...这个说重点的能力是真的不行,完全给不出有用的信息。 单从这帖子里给出的信息来看,官方既没法得到准确的问题点、又没法得知 BUG 是否真实存在,还不知道是不是个可以复现的“BUG”,可以说是个提 BUG 的典型反面教材了。(甚至某些方面来讲更像是造谣... |
| 57 zoharSoul 2020-06-04 16:21:32 +08:00 叹号哥一击脱离不见了. |
| 58 coderabbit OP |
| 59 locoz 2020-06-04 19:05:03 +08:00 |
Select Language