Атака на GitHub pages
Github pages – это излюбленное место всех разработчиков, так как сервис позволяет создать статистический сайт из вашего репозитория с доступом на smth.github.io. Это не только удобно, но и заметно облегчает работу.
Существует вариант привязки домена к репозиторию. При желании можно воспользоваться поддержкой SSL.
Рассмотрим ситуацию с самим сайтом. Если при отправке адреса резюме в очередном профиле с github pages выходит страница с какими-то записями или «coming soon», то следует подумать о том, все ли вы сделали правильно. После проверки очевидно, что в настройках репозитория можно найти отсутствие привязки к стандартному домену.
Если исправить это, то возможно появление еще одного сообщения об ошибке. Если прогуглить, то наличие появления таких сообщений похоже на:
угон домена;
необходимо прописать айпишники напрямую или просто как github.io.
Возможно, что CNAME запись необходимо скорректировать. Если и это не помогло, следует сделать небольшой тест:
1. Завести новую CNAME запись test.jehy.ru с указанием профиля Райана Далана.
2. Завести тестовый репозиторий с указанный кастомным доменом test.jehy.ru.
После необходимо связаться с техподдержкой для выяснения создавшихся вопросов. Ответ был в сторону отвязки от домена чужой репозиторий с условием дополнения NS записи. Из всего следовало, что:
1. Кто-то случайно прописал в своем репозитории адрес “whois.jehy.ru” в 2018 году с лэндингом 2013 года и проверкой прав гугловым html.
2. Наличие бага.
3. Атака злоумышленников по привязке CNAME.
Кстати, если найти файл CNAME в репозитории, можно определить того, кто же добавил его в домен. После чего можно легко обнаружить злоумышленника. Можно сделать вывод, что кто-то решил присвоить большое количество доменов даже со вторым уровнем, после чего получил «власть» над содержимым после подтверждения прав в гугле.
Для чего же необходима такая атака:
поиск сайтов на github.io;
фильтрация для того, чтобы оставить те, которые возвращают ошибку;
создание хакером нового репозитория.
После того, как злонамеренная привязка обнаружена, необходимо:
все подробности отправить на [email protected];
отписать всю форму в контакты;
произвести добавление на hackerone.com.
Как результат – бан указанного аккаунта. Но вопрос о недостаточной проверке NS записи доменов, указанных на github pages, на предмет наличия CNAME репозитория остаётся нерешенным. Лучше всего сотрудничать с техподдержкой и отправлять все интересующие вопросы во избежание подобных ситуаций.
Читать статью на:
