SonarQube API未授权访问
2020-07-30 # 漏洞复现 # 漏洞复现

前言

最近Twitter上有推文曝出超过50家公司源代码泄漏

推文下附属的详情文章中指出原因是DevOps工具SonarQube的错误配置导致的信息泄漏

查询SonarQube的历史漏洞,存在API泄漏用户登录敏感信息的问题

猜测SonarQube的API同样可能由于未鉴权泄漏项目源代码

简介

SonarQube是一款用于代码质量管理的开源平台,基于本地服务和mvn命令进行的代码分析,快速定位代码中潜在或明显的错误,并将分析结果推送到sonar服务器中

SonarQube服务器提供了Web API,其中一部分API未鉴权,可能导致项目源码泄漏

环境搭建

拉取镜像

启动Postgre和SonarQube

复现

进入SonarQube,admin/admin登录,创建工程项目

下载【sonar-scanner】,扫描本地代码

SonarQube的部分web api 未鉴权,可能泄漏敏感信息

查询最近项目

查询项目文件列表

查询项目文件源码

参考

https://www.cnblogs.com/eoalfj/p/12582724.html

PREV
2020-07-30 # 漏洞复现 # 漏洞复现
NEXT