成千上万的成千 Firefox 用户不小心在 GitHub 上提交了登录 Cookie

来源：cnBeta.COM 作者：cnBeta.COM 时间：2021-11-22 11:29:03

包含敏感数据的数千个 Firefox cookie 数据库目前出现在 GitHub 的存储库中，这些数据可能用于劫持经过身份验证的上万b上会话。这些 cookies.sqlite 数据库通常位于 Firefox 配置文件文件夹中。登录它们用于在浏览会话之间存储 cookie。用户现在可以通过使用特定查询参数搜索 GitHub 来找到它们，提交这就是成千所谓的搜索“dork”。

总部位于伦敦的铁路旅行服务公司 Trainline 的安全工程师 Aidan Marlin 在通过 HackerOne 报告了他的发现，并被 GitHub 代表告知“我们用户暴露的登录凭据不在范围内后，提醒 The用户 Register 这些文件的公开可用性。我们的提交漏洞赏金计划”。Marlin 然后问他是成千否可以公开他的发现，并被告知他可以自由这样做。上万b上

在发送给 The登录 Register 的电子邮件中，Marlin 表示：“我很沮丧 GitHub 没有认真对待用户的用户安全和隐私。它至少可以防止这个 GitHub dork

的提交结果出现。如果上传这些 cookie 数据库的人知道他们做了什么，他们会尿裤子”。

Marlin 承认，受影响的 GitHub 用户在提交代码并将其推送到公共存储库时未能阻止他们的 cookies.sqlite 数据库被包含在内，因此应该受到一些指责。 “但是这个 dork 的点击量接近 4500 次，所以我认为 GitHub 也有注意的义务”。他说，并补充说他已经通知了英国信息专员办公室，因为个人信息处于危险之中。

Marlin 推测这种疏忽是从一个人的 Linux 主目录提交代码的结果。他解释说：“我想在大多数情况下，个人不知道他们已经上传了他们的 cookie 数据库，用户这样做的一个常见原因是跨多台机器的公共环境”。

Marlin 说，GitHub dorks 并不新鲜，但它们通常只影响单一服务，例如 AWS。这种特殊的失误令人不安，因为它可能允许攻击者访问任何面向互联网的网站，在提交 cookie 文件时，GitHub 用户已通过该网站进行身份验证。他补充说，可能也可以找到其他浏览器的傻瓜。

分享：

文章标签： 浏览器 Github

相关推荐

• 2023 年京东史上最强 618来袭

  在今日举行的 2023 年京东 618 商家大会上，京东宣布今年 618 恰逢京东创业 20 周年，同时也将是史上助力商家增长投入最多、举措最强的 618。

  2023-04-20
• 安全研究专家报告Google Home严重漏洞获107500 美元赏金

  12 月 30 日消息，安全研究专家马特・昆茨（Matt Kunze）去年向谷歌报告了 Google Home 的严重漏洞，近期获得了谷歌 107500 美元（约 74.9 万元人民币）的高额赏金。

  谷歌 2022-12-30
• 一加10 Pro和OPPO Find X5 Pro开放升级基于Android13的ColorOS13

  ColorOS 官方今日宣布，OPPO Find X5 和 Find X5 Pro 现已开启 ColorOS 13.0 × Android 13 正式版升级，同时一加 10 Pro 5G 也已开启 ColorOS 13.0 × Android 13 正式版升级。

  OPPO 一加手机 ColorOS 2022-09-23
• 苹果为 Apple Watch Ultra 发布 watchOS 9.0.1 系统

  苹果今天发布了watchOS 9.0.1，这是对9月首次亮相的watchOS 9操作系统的微小更新。watchOS 9.0.1可用于Apple Watch Ultra，对于即将收到‌Apple Watch Ultra‌的用户来说，这将是第一天的更新。

  苹果 Apple Watch 2022-09-23
• 苹果推送iOS 16.0.2正式版：修复多个BUG

  9月23日消息：在iOS 16发布后，预装搭载的IPhone 14系列出现了多个问题，例如第三方应用的相机抖动、复制粘贴时频繁请求用户批准的弹窗等。在今日凌晨，苹果推送了iOS 16.0.2正式版更新，内部版本号20A380，这些问题都已修复。

  苹果 iOS 16 2022-09-23

本周热门

• 1微软推出wsl –install快速安装指令，简化安装，只需一条命令即可安装 2021/07/31
• 2Windows 10 默认关闭TLS 1.0/1.1协议 2022/09/16
• 3王者荣耀升级防沉迷措施：限制未成年游戏时间、氪金上限 2021/09/01
• 4笔记本CPU莫名锁频率0.39GHz？可能是过热和快速启动问题 2022/07/19
• 5人工智能技术在网络安全中的作用 2020/07/01
• 6iOS 微信发布 8.0.24 测试版 2022/06/10
• 75G时代新短信到来，如何避免垃圾短信穿上新马甲？ 2020/04/17
• 8安卓 11 来了：realme X50 Pro 5G 推送 realme UI 2.0 正式版 2020/12/31

本月热门

• 1微软推出wsl –install快速安装指令，简化安装，只需一条命令即可安装 2021/07/31
• 2笔记本CPU莫名锁频率0.39GHz？可能是过热和快速启动问题 2022/07/19
• 3中通开通默认隐私面单服务：隐藏寄件人/收件人电话号码 2021/12/10
• 4Microsoft Edge 弹窗要求定期导入其他浏览器数据 2022/02/24
• 5Windows 10 默认关闭TLS 1.0/1.1协议 2022/09/16
• 6Windows Server 2012 R2/2019/2022受累积更新影响，出现严重问题 2022/01/14
• 7QQ账号需“绑定手机号”才能继续使用 2021/08/16
• 82023 年京东史上最强 618来袭 2023/04/20

科技 安全 论坛 卡饭教程 手机版

Copyright2014-2020© 卡饭网  沪ICP备2020031077号-2

卡饭网提供的所有的资源均来自互联网，如有内容侵犯您的版权或其他利益，请及时向我们提出删除。联系邮箱：kf2020@kafan.cn

(责任编辑：知识)