警惕Github钓鱼套路 密级: 【C-1】 | 时间:2024-02-22 | 目录:测试笔记 | 编辑本文 上一版本 | 版本差异 | 文章距今已发表三个月,请自行判断文中技术方法、代码的有效性:) ## 前言 今天看Github的时候发现自己创建了一个backupxxx的仓库。翻译内容是账户信息被盗,所有仓库信息已经被打包。万幸的是Github账户只保存了一些无意义过时的代码,私有仓库在之前均迁移到私人的GIT上了。 私人配置的仓库信息无法被读取,即使是我自己,保险起见还是看了一下没有什么异常。检查了一下近期操作,只有一次oauth的操作,但是是官方发的邮件才登录的,甚至点击的时候还确认了一下邮件地址。这个时候我恍然大悟,我特么被钓鱼了。 ## 攻击手法 攻击者通过给项目提交PR,然后mention一些用户。Github会以官方身份发送邮件,通知用户存在Github团队的高薪工作机会。下图同邮件内容: ![](https://img.meituan.net/imgupload/a732c9b667404bc7567c9b8d66b1916f183202.png) 用户只要点击链接后,会点击如下链接: ``` https://github.com/login/oauth/authorize?client_id=eaa53b1f5856bf92d51b&redirect_uri=https://auth.githubtalentcommunity.online/auth/callback&scope=repo%20user%20read:org%20read:discussion%20gist%20write:discussion%20delete_repo ``` oauth链接的作用域不是常规的用户身份,会将仓库的读写删除权限一并提交给目标oauth应用。由于是以Github招聘的身份发出,被攻击者很容易信任这个授权的应用(截止目前,应用已被下架,404状态)。真的很巧妙,以Github高薪招聘为噱头,并且用pr的方式通知被钓鱼者,使得用户对邮件提升了官方认可。 当时没有意识到,官方网站没必要用一个子域名以及使用oauth的方式获取用户信息,这是一个不正常的业务流程。 ## 防范 1、核心敏感代码私有化,这也使得我我此次钓鱼不受影响 2、不要乱认证,即便是官方发的,不是一般认知的站点(例如github.com)都不要轻易授权 3、oauth看清作用域 评论列表 写评论 您的IP:3.14.254.185,临时用户名:ece93078评论已接入DepyWAF审计与流量系统,请勿频繁操作导致IP拉黑 提交评论 © 版权声明:非标注『转载』情况下本文为原创文章,版权归 Depy's docs 所有,转载请联系博主获得授权。