Github cookie 泄漏 – 错误上传了数千个 Firefox cookie 文件
2021-11-29 16:28:48 Author: www.freebuf.com(查看原文) 阅读量:11 收藏

还记得人们曾经错误地将他们的 SSH 密钥上传到 Github 和类似的代码共享站点吗?

之前就有媒体发布过,粗心的软件开发人员完全无意地上传了数十万个私有访问控制密钥,以及他们确实打算公开的源代码文件。

通常,发生这种错误是因为 Linux 和 Unix 计算机默认不显示以点字符(句点、句号、ASCII 46、十六进制 0x2E)开头的目录或文件名。

很容易忘记这些“隐藏”文件和目录的存在,因为您很少注意到它们的存在。

对于 Unix 用户来说.ssh,超级重要的“隐藏”目录之一是,它通常是不可见的。

所以一个普通的目录列表可能如下所示:

$ ls -lR 
.:
总计 4 
drwxr-xr-x 2 lua lua 4096 2021-11-18 20:52 lua-utils 

/./ lua-utils :
总计 32 
-rw-r--r-- 1 lua lua 5107 2021-11-18 20:45 args.lua 
-rw-r--r-- 1 lua lua 12384 2021-11-18 20:45 base.lua 
-rw-r--r-- 1 lua lua 4628 2021- 11-18 20:45 socks5.lua

鉴于lua帐户中的所有文件都应该是公开的,盲目地将所有这些文件打包到一个存档中以上传到您最喜欢的公共存储库似乎是无害的。

但是,如果你坚持认为,该文件列出你实用程序显示所有文件(添加选项-a为所有的ls命令),包括以点开头的隐藏文件,你可能有一个目录树,看起来像这个:

$ ls -alR 
.:
总计 28 
drwxr-xr-x 4 lua lua 4096 2021-11-18 20:46 ./ 
drwxr-xr-x 27 lua lua 16384 2021-11-18 20: 
xrxr. -x 2 lua lua 4096 2021-11-18 20:44 .ssh/ 
drwxr-xr-x 2 lua lua 4096 2021-11-18 20:52 lua-utils/ 
./.ssh:
总共 16 
drwxr-xr 2 lua lua 4096 2021-11-18 20:44 ./ 
drwxr-xr-x 4 lua lua 4096 2021-11-18 20:46 ../ 
-r-------- 1 lua lua 74 2021- 11-18 20:45 id_rsa 
-rw------- 1 lua lua 1993 2021-11-18 20:45 known_hosts 
./lua-utils:
总共 40 
drwxr-xr-x 2 lua lua 4096 2021-1 18 
20:52 ./ drwxr-xr-x 4 lua lua 4096 2021-11-18 20:46 ../
-rw-r--r-- 1 lua lua 5107 2021-11-18 20:45 args.lua 
-rw-r--r-- 1 lua lua 12384 2021-11-18 20:45 base.lua 
-rw -r--r-- 1 lua lua 4628 2021-11-18 20:45 socks5.lua

如您所见,完整的目录树包含一个隐藏.ssh目录,其中包含一个名为 的文件id_rsa,该文件是一个私钥文件,通常包含您定期连接的一个或多个在线服务器的登录凭据:

$ cat .ssh/id_rsa 
-----BEGIN RSA PRIVATE KEY ----- 
[. . . .] 
-----结束RSA私钥-----

其他人在收到通知时停止。我们采取行动

获得 Sophos 专家提供的 24/7 托管威胁搜寻、检测和响应

了解更多

我包含了 6 个文件,还是只包含了 5 个?

当然,如果您的打包工具归档并上传所有文件,而不仅仅是“未隐藏”的文件,您可能会在不经意间将自己的私有 SSH 登录密钥与公共源代码一起包含在内。

具有讽刺意味的是,该id_rsa文件甚至可能包含您的源代码存储库的访问密钥,该密钥文件现在公开且可搜索地位于该存储库中。

面对这种困境,许多上传网站现在都竭尽全力查找、警告和删除此类文件,而这些文件根本不应该公开。

但是一台典型的 Unix 或 Linux 计算机在任何繁忙用户的目录树中都会有成百上千个隐藏文件,虽然其中只有少数与 SSH 密钥一样重要,但仍有成百上千个隐藏文件透露有关您、您的帐户或您的在线活动的重要秘密信息。

错误地上传这些文件中的任何一个都可能对您的网络健康有害。

搜索、命令、文档和浏览数据

例如,数十种流行的实用程序保留了隐藏的“历史”文件,这些文件记录了最近 N 次搜索、最近 M 个文档或您运行的最后 P 个命令,以防万一您想快速返回到最近的命令或文档稍后的。

通常,这些历史文件可以追溯到几天、一周甚至更长的时间——尤其是您的命令外壳历史记录很容易出现不需要的密码副本,当您与密码提示不同步并输入密码时会意外“记住”在命令提示符下错误地。

好吧,英国 IT 新闻网站 El Reg(正式名称为 The Register)的记者今天写了一个警告,他们从一位读者那里收到了警告,该读者刚刚注意到cookies.sqlite在 GitHub 上可以找到数千份名为 Firefox 浏览器的 cookie 文件。

许多 Firefox 用户永远不会看到这个文件,尤其是在 Linux 计算机上,因为它默认.mozilla/firefox存放在一个名为 的目录下,由于应用程序开头的点,它不太可能在本地文件的日常浏览中出现 -具体目录名.mozilla

我们重复了这个实验,我们立即发现了 4400 多个具有该名称的文件实例,最近的只有几个小时。

我们没有深入挖掘出现的文件,即使它们现在是公共记录的问题,因为我们怀疑上传它们的用户都没有打算这样做。

但是我们能够打开并简要浏览我们查看的示例(.sqlite文件是流行的SQLite工具包的自包含数据库,被一系列应用程序广泛使用——它在 iOS 和 Android 上非常受欢迎,因为其紧凑的代码大小) ,并且他们有近期浏览行为和网站登录的明确证据。

当然,cookies.sqlite这只是来自一个流行应用程序的一个敏感文件,但上传私人文件是一个糟糕的选择,因为它通常包含有关您的私人浏览习惯的个性化信息。

最重要的是,您的 cookie 数据库可能包含身份验证令牌,让您下次访问时无需再次登录即可返回您喜爱的网站。

如果您习惯于告诉网站“记住我 X 天”,这样您就不需要每天早上输入您的用户名、密码和 2FA 代码,那么可以合理地猜测,混乱的文本字符的秘密字符串让您下次返回时将存储为网络 cookie。因此,找到您的 cookie 文件的骗子可能会复制您的个人“登录绕过”代码并在您的帐户中伪装成您。

该怎么办?

  • 当您上传文件供公众使用时,请绝对确定您已将哪些文件包含在您的包中。Windows 以默认情况下禁止文件扩展名而闻名,因此很难确定您选择了哪种类型的文件。如上所示,Linux 和 Unix 以禁止以点开头的“隐藏”文件而闻名。
  • 如果可能,请在单击 [确定] 之前让其他人检查您的上传。例如,如果您正在上传自己的代码,您可能会因为下一个版本发布而感到欣慰和欣喜,或者为您一直在处理的错误现在终于得到修复而感到高兴。查看自己上传的内容就像校对自己的文章:您知道它们应该是什么样子,因此其他人明显注意到的错误通常会完全避开您的注意。
  • 养成定期清除浏览器 cookie 的习惯。您离开它的时间越长,关于您浏览 cookie 文件的个性化数据就会包含越多。理想情况下,将浏览器设置为在退出时自动清除 cookie 和网络数据。这样您就不必记住继续手工操​​作。这是一个大大的安心的小不便。
  • 使用完站点后,请立即从站点注销。是的,这很不方便,因为您必须经常重新登录并输入 2FA 代码。但是,当您正式告诉 GitHub、YouTube 或 Facebook 等网站您已退出登录时,您当前的浏览器身份验证令牌将自动失效,因此对以后偶然发现它们的任何人都毫无用处。
  • 一公开就下载您自己的上传。如果您定期将文件上传到其他人可以获取的公共存储库,请养成下载自己上传的文件的习惯(如果可以,请使用不同的浏览器、不同的用户名,甚至不同的计算机),就好像您是一个好奇的成员一样民众。查看您刚刚下载的内容,使用您知道的工具显示下载中的所有内容,无论其扩展名或文件名如何。如果你不检查流氓文件,骗子会偷偷地为你做这件事。

内容来源:https://nakedsecurity.sophos.com/2021/11/18/github-cookie-leakage-thousands-of-firefox-cookie-files-uploaded-by-mistake/


文章来源: https://www.freebuf.com/news/306390.html
如有侵权请联系:admin#unsafe.sh