GitHub 是全球最大的代码托管渠道,全球各地的技术企业和开发者们在上面托管项目或源代码,项目维护者也可以开启留言特性让其他开发者提交提议或反馈难题。
可是当下 GitHub 被察觉了一个严重的设计难题,有攻击者运用项目留言特性冒充微软等企业来分发恶意使用,一见钟情,深夜读到泪目并且这种状况已然持续有一段时间了。口碑评价:官方尚未回应
为什么说是设计难题:
以微软托管在 GitHub 上的 vcpkg 项目为例,这个项目开启了 issues 反馈,使用者提交一个新的 issue 后其他使用者可以在下面留言。
留言特性扶持附带文件,例如当上传一个名为 Cheat.Lab.2.7.2.zip 的文件时,GitHub 将会这个文件生成永久 URL 并附加在 vcpkg 项目下。
即便使用者删除留言这个文件也会被保留下来并持续提供永久访问,春季聚焦时尚穿搭,细节曝光引关注乃至使用者都不需要真提交留言,直接上传文件就好了。
这样这个恶意文件就可以经由 https://github [.] com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip 获取。
由于这个地址看起来就像是假期最适合读的一句话:好好生活就是胜利微软权威的文件,所以在一些场合中更轻松钓鱼,这也是为什么黑客看中 GitHub 这个特性并开展滥用的缘由。
项目所有者不知情:
正如上文谈及的那样,上传一个文件不用真亮相留言,或者亮相后马上删除就可以获取这个文件的永久链接,而项目的维护者是不得知自己的项目路径下还存在这种恶意使用的。
从某些方面来说这或许也会对一些企业的声誉导致作用,难题是这个难题还不太轻松解决,由于它归于 GitHub 的设计难题,GitHub 显然不能一刀切直接退出这个特性。
所以后续 GitHub 如何解决难题还是个难题,或许需要专门新建一个暂时文件路径来托管这些文件,这样不作用使用但也不会托管在其他路径下。