网络安全漏洞：网站泄露数千个敏感信息

关键要点

超过4500个网站在Amazon Alexa前百万名网站中泄露了敏感信息。多数泄露的凭证为AWS和GitHub密钥。67的泄露GitHub凭证具有管理员级别权限。私有RSA密钥泄露可被用于中间人攻击。

根据SecurityWeek的报道，发现有超过4500个网站在Alexa前百万名网站中泄露了包含代码提交、文件路径、源代码和其他敏感信息的Git目录。这些网站泄露的大多数凭证都是AWS和GitHub密钥。Truffle Security的报告显示，GitHub令牌的普遍泄露是由于在远程仓库克隆过程中将Git配置文件存储在不安全的位置。

进一步调查发现，有67的泄露GitHub凭证具有管理员级别的权限，而所有的凭证都具有仓库权限，这些权限一旦被利用，可能会导致任意操作的实施，包括恶意软件的部署。此外，研究还发现与网站的TLS证书相对应的私有RSA密钥也遭到泄露，威胁行为者可以利用这些密钥进行中间人攻击。

我们仅报告经过验证的实时秘密，这意味着我们对这些秘密被攻击者使用的信心非常高。还有许多额外的秘密类型，需要用户通过本地应用程序/服务器进行验证。 Truffle Security表示。

漏洞类型描述Git凭证泄露包含敏感的代码提交和文件路径管理员权限泄露67的凭证具有高权限，可执行任意操作私有RSA密钥泄露可用于中间人攻击，并危害网站安全AWS和GitHub密钥泄露大多数泄露凭证均为云服务及版本控制密钥

此事件强调了网络安全的重要性，网站管理者需加强对敏感信息的保护措施，以避免潜在的安全风险。

1元机场.com