VSCode 漏洞可被用于窃取 GitHub Token
安全研究者披露,攻击者可能通过诱导用户点击 github.dev 链接,利用 VSCode Webview 的键盘事件处理问题安装扩展,从而读取 GitHub API Token,并访问用户有权限的仓库,包括私有仓库。该问题也存在于桌面版 VSCode,但利用门槛更高。研究者建议清除 github.dev 的站点数据;如果已运行 PoC,还应卸载相关测试扩展。
Ammar’s Blog (https://blog.ammaraskar.com/github-token-stealing/)
https://cdn3.ldstatic.com/optimized/4X/0/1/4/014ae9fd9439f7cc802178ec60205240c3ec907b_2_690x194.jpeg 成功不是奇迹,而是 一个个具体行动的累积 。 看到就是学到,信息本身不难,难的是把它转成行动。 这个案例值得对照自己的技能和时间来判断。 信息差只是起点,执行差才是真正的差距。 做大事和做小事的难度是一样的,都会消耗时间和精力,所以 如果决心做事,就要做大事 。 人人为我,我为人人!星友们加油!
页:
[1]