গিটল্যাব দুর্বলতা সেশন চুরির অনুমতি দেয়

আবার একটি দুর্বলতা ইন্টারনেটে পাওয়া যায়। আজ গিটল্যাবের পালা। সুরক্ষা বিশেষজ্ঞরা একটি দুর্বলতা সনাক্ত করেছেন যা ব্যবহারকারীদের জন্য শুরু হওয়া সেশনগুলি চুরি করতে দেয় । ইম্পার্ভা হ'ল সেই সংস্থা যা এই সুরক্ষা ত্রুটিটি সনাক্ত করেছে। এবং সমস্যার উত্সও।

গিটল্যাবে ক্ষতিগ্রস্থতা সেশন চুরির অনুমতি দেয়

তারা মন্তব্য করার সময়, সমস্যাটি টোকেনের মধ্যে রয়েছে যা ব্যবহারকারীর সেশনগুলি চিহ্নিত করতে ব্যবহৃত হয় । এই আইটেমটি সনাক্তকারী আইডি খুব ছোট । এটি একটি নিষ্ঠুর বাহিনী আক্রমণ চালিয়ে যায় এবং ব্যবহারকারীর সেশনের সাথে সম্পর্কিত আইডিটি খুব দ্রুত খুঁজে পাওয়া যায়।

গিটল্যাব দুর্বলতা

সমস্যাটি হ'ল গিটল্যাবের ক্ষেত্রে এই তথ্যটি ধ্বংস হয় না, এটি বেশিরভাগ ক্ষেত্রে ঘটে। কারণ যদি কোনও ব্যবহারকারীর টোকেন সনাক্ত করতে পরিচালিত হয় তবে তারা তাদের অ্যাকাউন্ট দিয়ে সমস্ত ধরণের ক্রিয়া সম্পাদন করতে পারে। আপনার তথ্যে অ্যাক্সেস থাকা ছাড়াও, আপনি এটি সংশোধন করতে পারেন বা এটি দিয়ে অযাচিত কেনাকাটা করতে পারেন।

এটি মন্তব্য করা হয়েছে যে গিটল্যাবে এই তথ্য পাওয়ার জন্য ব্রুট ফোর্স তাদের অন্যতম উপায় force যদিও অন্যান্য উপায় আছে। আরেকটি উপায় হ'ল ম্যান-ইন-দ্য মিডল আক্রমণ সহ, যেহেতু টোকেনগুলির মেয়াদ শেষ হয় না। একটি কোড ইঞ্জেকশনও ডাটাবেসে ব্যবহৃত হত। যদিও এই ধরণের আক্রমণে সার্ভারগুলিতে একটি সুরক্ষা ত্রুটি থাকা দরকার। আর মনে হচ্ছে এবারও তেমনটি হয়নি।

সমস্যা সমাধানে সংস্থাটি কাজ শুরু করেছে। কিছু টোকেন যাচাইকরণের ব্যবস্থা যুক্ত করা হয়েছে। তবে এই মুহূর্তে আর কোনও খবর নেই। গিটল্যাব পুরো মাস জুড়ে পরিবর্তনগুলি ঘোষণা করেছে, তাই কী হবে তা আমরা দেখব।