警惕Github钓鱼套路 密级: 【C-1】 | 时间:2024-02-21 | 目录:测试笔记 | 编辑本文 下一版本 文章距今已发表三个月,请自行判断文中技术方法、代码的有效性:) ## 前言 今天看Github的时候发现自己创建了一个backupxxx的仓库。翻译内容是账户信息被盗,所有仓库信息已经被打包。 万幸的是Github账户只保存了一些无意义过时的代码,私有仓库 ## 攻击手法 攻击者通过给项目提交PR,然后mention一些用户。Github会以官方身份发送邮件,通知用户存在Github团队的高薪工作机会。下图同邮件内容: ![](https://img.meituan.net/imgupload/a732c9b667404bc7567c9b8d66b1916f183202.png) 用户只要点击链接后,会点击如下链接: ``` https://github.com/login/oauth/authorize?client_id=eaa53b1f5856bf92d51b&redirect_uri=https://auth.githubtalentcommunity.online/auth/callback&scope=repo%20user%20read:org%20read:discussion%20gist%20write:discussion%20delete_repo ``` oauth链接的作用域不是常规的用户身份,会将仓库的读写删除权限一并提交给目标oauth应用。由于是以Github招聘的身份发 评论列表 写评论 您的IP:3.147.242.19,临时用户名:4d6ff6eb评论已接入DepyWAF审计与流量系统,请勿频繁操作导致IP拉黑 提交评论 © 版权声明:非标注『转载』情况下本文为原创文章,版权归 Depy's docs 所有,转载请联系博主获得授权。