Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Używasz Jiry? Sprawdź czy nie wyciekają Twoje dane – czasem już są one zindeksowane przez Google…
Ciekawe opracowanie, pokazujące (często domyślne) problemy z autoryzacją do zasobów w Jira.
O co chodzi? Głównie o filtry wyszukujące konkretnych spraw – użytkownicy często tworzą te pierwsze i udostępniają 'każdemu’. W domyśle każdemu z własnej firmy; domysł jest tu jednak kiepski – często takie ustawienia umożliwiają na anonimowy dostęp do wyników filtra. Jeśli teraz Jira jest dostępna z Internetu to mamy mały klops.
Cytowany badacz pokazał taki klops w NASA, Google, Yahoo czy różnych organizacjach rządowych. W opracowaniu macie gotowe linki, które możecie sprawdzić na swoich instancjach, ale również zapytania do Google, które umożliwiają wyłapanie problematycznych instancji Jira w całym Internecie.
Przykłady poniżej, a przy okazji sprawdźcie czy załataliście ostatnią groźną podatność w Jirze – prosty exploit dający dostęp na system operacyjny już krąży po sieci…
–ms
Chyba coś Wam się nie zamazało na pierwszym screenie. :)