Używasz Jiry? Sprawdź czy nie wyciekają Twoje dane – czasem już są one zindeksowane przez Google…

Ciekawe opracowanie, pokazujące (często domyślne) problemy z autoryzacją do zasobów w Jira.

O co chodzi? Głównie o filtry wyszukujące konkretnych spraw – użytkownicy często tworzą te pierwsze i udostępniają 'każdemu’. W domyśle każdemu z własnej firmy; domysł jest tu jednak kiepski – często takie ustawienia umożliwiają na anonimowy dostęp do wyników filtra. Jeśli teraz Jira jest dostępna z Internetu to mamy mały klops.

Cytowany badacz pokazał taki klops w NASA, Google, Yahoo czy różnych organizacjach rządowych. W opracowaniu macie gotowe linki, które możecie sprawdzić na swoich instancjach, ale również zapytania do Google, które umożliwiają wyłapanie problematycznych instancji Jira w całym Internecie.

Przykłady poniżej, a przy okazji sprawdźcie czy załataliście ostatnią groźną podatność w Jirze – prosty exploit dający dostęp na system operacyjny już krąży po sieci…

–ms