Successfully reported this slideshow.

Ivan Vyshnevskyi - Not So Quiet Git Push

0

Share

Mar. 04, 2018
0 likes 423 views
Upcoming SlideShare
Is there a penetration testing within PCI DSS certification? (Dmytro Diordiyc...
Is there a penetration testing within PCI DSS certification? (Dmytro Diordiyc...
Loading in …3
×
1 of 127
1 of 127

Ivan Vyshnevskyi - Not So Quiet Git Push

Mar. 04, 2018
0 likes 423 views

0

Share

Download to read offline

Technology

Ivan Vyshnevskyi - Not So Quiet Git Push

Ivan Vyshnevskyi - Not So Quiet Git Push

Technology

Recommended

More Related Content

More from OWASP Kyiv

Vlad Styran - OWASP Kyiv 2017 Report and 2018 Plans
OWASP Kyiv
Roman Borodin - ISC2 & ISACA Certification Programs First-hand Experience
OWASP Kyiv
Ihor Bliumental - WebSockets
OWASP Kyiv
Serhiy Korolenko - The Strength of Ukrainian Users’ P@ssw0rds2017
OWASP Kyiv
Viktor Zhora - Cyber and Geopolitics: Ukrainian factor
OWASP Kyiv
Andriy Shalaenko - GO security tips
OWASP Kyiv
Vlad Styran - "Hidden" Features of the Tools We All Love
OWASP Kyiv
Volodymyr Ilibman - Close Look at Nyetya Investigation
OWASP Kyiv
Ihor Bliumental - Collision CORS
OWASP Kyiv
Lidiia 'Alice' Skalytska - Security Checklist for Web Developers
OWASP Kyiv
Ihor Bliumental – Is There Life Outside OWASP Top-10
OWASP Kyiv
Roman Rott – Ruby for Pentesters
OWASP Kyiv

Featured

What to Upload to SlideShare
SlideShare
Be A Great Product Leader (Amplify, Oct 2019)
Adam Nash
Trillion Dollar Coach Book (Bill Campbell)
Eric Schmidt
APIdays Paris 2019 - Innovation @ scale, APIs as Digital Factories' New Machi...
apidays
A few thoughts on work life-balance
Wim Vanderbauwhede
Is vc still a thing final
Mark Suster
The GaryVee Content Model
Gary Vaynerchuk
Mammalian Brain Chemistry Explains Everything
Loretta Breuning, PhD
Blockchain + AI + Crypto Economics Are We Creating a Code Tsunami?
Dinis Guarda
The AI Rush
Jean-Baptiste Dumont
AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017
Carol Smith
10 facts about jobs in the future
Pew Research Center's Internet & American Life Project
Harry Surden - Artificial Intelligence and Law Overview
Harry Surden
Inside Google's Numbers in 2017
Rand Fishkin
Pinot: Realtime Distributed OLAP datastore
Kishore Gopalakrishna
How to Become a Thought Leader in Your Niche
Leslie Samuel
Visual Design with Data
Seth Familian
Designing Teams for Emerging Challenges
Aaron Irizarry
UX, ethnography and possibilities: for Libraries, Museums and Archives
Ned Potter
Winners and Losers - All the (Russian) President's Men
Ian Bremmer

Related Books

Free with a 14 day trial from Scribd

See all
The Future Is Faster Than You Think: How Converging Technologies Are Transforming Business, Industries, and Our Lives Peter H. Diamandis
(4.5/5)
Free
Talk to Me: How Voice Computing Will Transform the Way We Live, Work, and Think James Vlahos
(4/5)
Free
SAM: One Robot, a Dozen Engineers, and the Race to Revolutionize the Way We Build Jonathan Waldman
(5/5)
Free
From Gutenberg to Google: The History of Our Future Tom Wheeler
(3.5/5)
Free
So You Want to Start a Podcast: Finding Your Voice, Telling Your Story, and Building a Community That Will Listen Kristen Meinzer
(3.5/5)
Free
Bezonomics: How Amazon Is Changing Our Lives and What the World's Best Companies Are Learning from It Brian Dumaine
(4/5)
Free
No Filter: The Inside Story of Instagram Sarah Frier
(4.5/5)
Free
Autonomy: The Quest to Build the Driverless Car—And How It Will Reshape Our World Lawrence D. Burns
(5/5)
Free
Future Presence: How Virtual Reality Is Changing Human Connection, Intimacy, and the Limits of Ordinary Life Peter Rubin
(4/5)
Free
Live Work Work Work Die: A Journey into the Savage Heart of Silicon Valley Corey Pein
(4.5/5)
Free
Everybody Lies: Big Data, New Data, and What the Internet Can Tell Us About Who We Really Are Seth Stephens-Davidowitz
(4.5/5)
Free
Life After Google: The Fall of Big Data and the Rise of the Blockchain Economy George Gilder
(4/5)
Free
System Identification: Tutorials Presented at the 5th IFAC Symposium on Identification and System Parameter Estimation, F.R. Germany, September 1979 Elsevier Books Reference
(4/5)
Free
Energy Conservation in Buildings: The Achievement of 50% Energy Saving: An Environmental Challenge? Elsevier Books Reference
(4/5)
Free
Young Men and Fire: Twenty-fifth Anniversary Edition Norman Maclean
(4.5/5)
Free
Longitude: The True Story of a Lone Genius Who Solved the Greatest Scientific Problem of His Time Dava Sobel
(4/5)
Free

Related Audiobooks

Free with a 14 day trial from Scribd

See all
If Then: How the Simulmatics Corporation Invented the Future Jill Lepore
(4.5/5)
Free
A Brief History of Motion: From the Wheel, to the Car, to What Comes Next Tom Standage
(4/5)
Free
An Ugly Truth: Inside Facebook’s Battle for Domination Sheera Frenkel
(4.5/5)
Free
Spooked: The Trump Dossier, Black Cube, and the Rise of Private Spies Barry Meier
(4/5)
Free
Second Nature: Scenes from a World Remade Nathaniel Rich
(5/5)
Free
Driven: The Race to Create the Autonomous Car Alex Davies
(4.5/5)
Free
Test Gods: Virgin Galactic and the Making of a Modern Astronaut Nicholas Schmidle
(5/5)
Free
Einstein's Fridge: How the Difference Between Hot and Cold Explains the Universe Paul Sen
(4.5/5)
Free
Dignity in a Digital Age: Making Tech Work for All of Us Ro Khanna
(4/5)
Free
After Steve: How Apple Became a Trillion-Dollar Company and Lost its Soul Tripp Mickle
(4.5/5)
Free
User Friendly: How the Hidden Rules of Design Are Changing the Way We Live, Work, and Play Cliff Kuang
(4.5/5)
Free
Blockchain: The Next Everything Stephen P. Williams
(4/5)
Free
Uncanny Valley: A Memoir Anna Wiener
(4/5)
Free
Lean Out: The Truth About Women, Power, and the Workplace Marissa Orr
(4.5/5)
Free
A World Without Work: Technology, Automation, and How We Should Respond Daniel Susskind
(4.5/5)
Free
The Players Ball: A Genius, a Con Man, and the Secret History of the Internet's Rise David Kushner
(4.5/5)
Free

Ivan Vyshnevskyi - Not So Quiet Git Push

  1. 1. Not so Quiet git push All your repository are belong to us
  2. 2. Відмова від відповідальності “They are not a security people, they’re a developer people […]” — Bryan Brake, подкаст “Brakeing Down Security” 2
  3. 3. 3
  4. 4. 4
  5. 5. 5
  6. 6. 6
  7. 7. 7 Модель загроз
  8. 8. План I. Проблема II. Історія III.Результати 8
  9. 9. I. Проблема 9
  10. 10. Ціль: статичний сайт ● Персональний блог ● Cайт-візитка ● Документація для нашого F(L)OSS проекту ● Сторінка для JavaScript експериментів 10
  11. 11. Ціль: статичний сайт ● Дешево ● Мінімум інфраструктури ● Легко оновлювати ● Пишемо не чистий HTML (Markdown чи AsciiDoc) 11
  12. 12. GitHub Pages 12
  13. 13. GitHub Pages v1.0 13 автор https://example.github.io ➀ зміни ➂ хостинг GitHub ➁ генерація (Jekyll)
  14. 14. GitHub Pages v2.0 14 автор https://example.github.io ➀ зміни GitHub Travis CI ➃ хостинг ➂ генерація та публікація ➁ отримання змін
  15. 15. GitHub Pages: Auth 15
  16. 16. GitHub Pages: Auth 16
  17. 17. GitHub Pages: Auth 17
  18. 18. Публікація з Travis CI 18 .travis.yml sudo: false script: - ./build.sh # генерує і коммітить в public - cd public - ???
  19. 19. Публікація: спроба #1 19 .travis.yml:L5 - git push https://$GH_TOKEN@github.com/$TRAVIS_REPO_SLUG HEAD:gh-pages
  20. 20. Публікація: спроба #1 20
  21. 21. Публікація: спроба #1 21
  22. 22. Публікація: спроба #1 22
  23. 23. git push до v2.9.3 виводить повний URL 23
  24. 24. Публікація: спроба #2 24
  25. 25. Публікація: спроба #2 25 man git-push
  26. 26. Публікація: спроба #2 26 .travis.yml:L5 - git push --quiet https://$GH_TOKEN@github.com/$TRAVIS_REPO_SLUG HEAD:gh-pages
  27. 27. Публікація: спроба #2 27
  28. 28. Публікація: спроба #2 28
  29. 29. Публікація: спроба #2 29
  30. 30. Публікація: спроба #2 30
  31. 31. Публікація: спроба #2 31 man git-push #again
  32. 32. git push усіх версії виводить повний URL при помилці 32
  33. 33. Публікація: спроба #3 33
  34. 34. Публікація: спроба #3 34 .travis.yml:L5 - git push --quiet https://$GH_TOKEN@github.com/$TRAVIS_REPO_SLUG HEAD:gh-pages > /dev/null
  35. 35. Публікація: спроба #3 35 git push --quiet $URL HEAD:gh-pages > /dev/null fatal: unable to access 'https://df479efa868fbb679ce954fad0ce2c7c3dffd92e@github.com/sai naen/hypothetical-blog/': Failed to connect to github.com port 443: Connection refused
  36. 36. Публікація: спроба #3 36 git push --quiet $URL HEAD:gh-pages > /dev/null fatal: unable to access 'https://df479efa868fbb679ce954fad0ce2c7c3dffd92e@github.com/sai naen/hypothetical-blog/': Failed to connect to github.com port 443: Connection refused
  37. 37. git push усіх версії виводить помилки в stderr, не stdout 37
  38. 38. Публікація: ще варіанти? 38 ● повний /dev/null git push $URL HEAD:gh-pages 2>&1 > /dev/null ● credentials helper git config credential.helper 'store --file=.git/creds' ● ~/.netrc echo "machine github.com login $LOGIN password $GH_TOKEN" > ~/.netrc
  39. 39. Підсумок ● Щоб працювати з git безпечно треба бути обережним ○ Хороші рішення знайти так само легко як і погані ● Доступні для всіх логи не спрощують задачу 39
  40. 40. II. Історія 40
  41. 41. 2014 — Знайомство 41
  42. 42. 2014 — Знайомство 42
  43. 43. 2014 — Знайомство ● Простий пошук по ‘git push https’ ● Перегляд вручну логів 43
  44. 44. 2014 — Знайомство ● Простий пошук по ‘git push https’ ● Перегляд вручну логів Результат: ~10 токенів (активних і ні) 44
  45. 45. 2014 — Знайомство В одному з листів, я написав: “[This problem] doesn't seem to be very common […]” 45
  46. 46. 2014 — Знайомство В одному з листів, я написав: “[This problem] doesn't seem to be very common […]” Ха! 46
  47. 47. 2016 — Повернення 47 ● Хочеться свій блог ● Перший пост має бути про щось цікаве
  48. 48. 2016 — Повернення 48 ● Хочеться свій блог ● Перший пост має бути про щось цікаве Проблема з git push
  49. 49. 2016 — Повернення 49 ● Всього 10 токенів якось малувато ● Можливо за два роки все змінилось? ● Потенційна шкода, якщо проблема більш поширена
  50. 50. 2016 — Повернення 50 ● Всього 10 токенів якось малувато ● Можливо за два роки все змінилось? ● Потенційна шкода, якщо проблема більш поширена Рішення: ще раз пройтись пошуком
  51. 51. 2016 — Перші результати ● 28 активних токенів 51
  52. 52. 2016 — Перші результати ● 28 активних токенів ● часткова автоматизація завантаження логів 52
  53. 53. 2016 — Перші результати ● 28 активних токенів ● часткова автоматизація завантаження логів ○ знаючи ім’я репозиторію, навіть якщо він «деактивований» на Travis CI, логи все ще можна отримати ○ у випадку проблем з git push який знаходиться в after_success секції, білд залишається «зеленим» 53
  54. 54. 2016 — Перші результати ● 28 активних токенів ● часткова автоматизація завантаження логів ○ знаючи ім’я репозиторію, навіть якщо він «деактивований» на Travis CI, логи все ще можна отримати ○ у випадку проблем з git push який знаходиться в after_success секції, білд залишається «зеленим» ● ‘coordinated’ та інші види disclosure 54
  55. 55. 2016 — Книга облич exec('git clone '+ 'https://$GH_TOKEN@github.com/'+repoSlug+' '+ factsFolder); // ... exec('git push origin'); 55
  56. 56. 2016 — Книга облич 56 ● Можна писати статтю! :-)
  57. 57. 2016 — Книга облич 57 ● Можна писати статтю! :-) ● Баг баунті? Офкорс!
  58. 58. 2016 — Книга облич 58 ● Можна писати статтю! :-) ● Баг баунті? Вуд лов ту, бат… ○ «Не можна зв’язуватися з працівниками з питань повідомлення безпосередньо або через інші канали.» ○ Помилка вже виправлена
  59. 59. 2016 — Книга облич 59 ● Thank you for reporting this information to us.
  60. 60. 2016 — Книга облич 60 ● Thank you for reporting this information to us.
  61. 61. 2016 — Книга облич 61 ● Thank you for reporting this information to us. ● After reviewing this issue, we have decided to award you a bounty of $X000.
  62. 62. 2016 — Книга облич 62 … award you a bounty of $X000
  63. 63. 2016 — Книга облич 63
  64. 64. 2016 — Книга облич 64
  65. 65. 2017 — Скан 65
  66. 66. 2017 — Скан 66 JavaScript: робота з API Travis CI Bash: менджмент вводу/виводу ¯_(ツ)_/¯
  67. 67. 2017 — Скан: репозиторії 67 ● популярні (>100 зірочок чи форків)
  68. 68. 2017 — Скан: репозиторії 68 ● популярні (>100 зірочок чи форків) ● проекти відомих компаній (Google, Mozilla, Facebook, etc.)
  69. 69. 2017 — Скан: репозиторії 69 ● популярні (>100 зірочок чи форків) ● проекти відомих компаній (Google, Mozilla, Facebook, etc.) ● проекти топ-коммітерів до проектів зібраних раніше
  70. 70. 2017 — Скан: репозиторії 70
  71. 71. 2017 — Скан: репозиторії 71 ● популярні (>100 зірочок чи форків) ● проекти відомих компаній (Google, Mozilla, Facebook, etc.) ● проекти топ-коммітерів до проектів зібраних раніше ● проекти коммітерів до проектів топ-коммітерів
  72. 72. 2017 — Скан: білди 72 Деякі проекти використовують Travis CI наповну ● інколи десятки тисяч білдів ● кожен білд має десятки джоб логів
  73. 73. 2017 — Скан: білди 73 ● тільки останні 3000 білдів ● не більше 10 логів на білд ○ завжди останній та перший ○ 8 випадкових
  74. 74. 2017 — Скан: час 74 ● ~4 місяці ○ щоб не забанили мій сервер ○ не створювати проблем для безкоштовного сервісу
  75. 75. 2017 — Скан: час 75 ● ~4 місяці ○ щоб не забанили мій сервер ○ не створювати проблем для безкоштовного сервісу ● дуже важко не сидіти і тупо дивитись як біжать рядочки
  76. 76. 2017 — Скан: час 76 ● ~4 місяці ○ щоб не забанили мій сервер ○ не створювати проблем для безкоштовного сервісу ● дуже важко не сидіти і тупо дивитись як біжать рядочки ● постійний збір нових «цілей»
  77. 77. III. Результати 77
  78. 78. Хвилинка статистики (1) 78 Скан ● 7.8 мільйонів репозиторіїв на 326 мовах ● 320 тис. з них мали хоча б один білд на Travis CI ~4.1%! ● 60 мільйонів білдів
  79. 79. Хвилинка статистики (2) 79 Результати ● 150 тис. білдів в яких щось знайшлись ~0.24% від усіх ● 2.6 тис. унікальних токенів ● 907 активних токенів (34%)
  80. 80. 907 Активних токенів 80
  81. 81. 81
  82. 82. 82 цікаві проекти
  83. 83. 83
  84. 84. 84
  85. 85. 85
  86. 86. 86
  87. 87. 87
  88. 88. 88
  89. 89. 89
  90. 90. 90
  91. 91. 91
  92. 92. 92
  93. 93. 93
  94. 94. 94
  95. 95. 95
  96. 96. 96
  97. 97. 97
  98. 98. 98
  99. 99. 99
  100. 100. 100
  101. 101. 101
  102. 102. 102
  103. 103. 103
  104. 104. 104
  105. 105. 105
  106. 106. 106
  107. 107. 107
  108. 108. 108
  109. 109. 109
  110. 110. 110
  111. 111. 111
  112. 112. 112
  113. 113. 113 158 тис. репозиторіїв з комміт-доступом
  114. 114. 114 20 тис. приватних репозиторіїв
  115. 115. disclosure 115
  116. 116. Disclosure: порядок 116 1. газети/журнали/онлайн видання 2. державні організації 3. великі компанії 4. індивідуальні розробники
  117. 117. Disclosure: а чому не… 117 ● git-security@ ● Travis CI ● GitHub Security ● напряму власникам
  118. 118. Disclosure: моменти 118 ● виявилось, це займає дуже багато часу
  119. 119. Disclosure: моменти 119 ● виявилось, це займає дуже багато часу ● важко визначити кому писати
  120. 120. Disclosure: моменти 120 ● виявилось, це займає дуже багато часу ● важко визначити кому писати ● Google Security Team — круті
  121. 121. Disclosure: фінал 121
  122. 122. Висновки 122 ● “given enough eyeballs, all bugs are shallow” — не працює, токени в логах були роками навіть у великих проектів
  123. 123. Висновки 123 ● “given enough eyeballs, all bugs are shallow” — не працює, токени в логах були роками навіть у великих проектів ● якщо програма поводиться несподівано, документацію не прочитають
  124. 124. Висновки 124 ● “given enough eyeballs, all bugs are shallow” — не працює, токени в логах були роками навіть у великих проектів ● якщо програма поводиться несподівано, документацію не прочитають ● копі-паста коду з Інтернету, як завжди, не допомогає
  125. 125. Дякую за увагу 125 hi@sainaen.com @sainaen Іван Вишневський
  126. 126. PS. Не git push єдиним ● set -x ● git remote -v ● echo 126
  127. 127. PPS. Виправимо git-push! - error(_("failed to push some refs to '%s'"), transport->url); + error(_("failed to push some refs to '%s'"), transport_anonymize_url(transport- >url)); “This leaks the return value.” :-( 127

×