Bug使Vine的源代碼公開化

一個錯誤允許安全研究人員下載Vine的完整源代碼。這位研究人員在綽號Avicoder的指導下，在尋找可能導致6秒視頻服務的bug賞金計劃獎勵的故障時發現了這個漏洞。在博客文章中，Avicoder在檢查網站的安全措施后發現了“期待已久的錯誤”。他對Vine的母網站Twitter感興趣，該網站在發現錯誤后迅速付清。

使用名為Censys.io的工具后，Avicoder發現了一個子域。子域docker.vineapp.com在瀏覽器中顯示消息“/ * private docker registry * /”。“如果它應該是私有的，為什么它可以公開訪問?這里必須有其他東西。在google搜索/ *私有docker注冊表* /我知道Docker提供了一個允許開發人員托管的功能并通過網絡分享圖像，“他說。“在確定Docker注冊表未使用最新版本(V2)并且端點與以前版本不同之后，我需要使用V1文檔來訪問它們。只有在那之后我才能從服務器獲得一些有用的響應，“ 他加了。

然后，Avicoder使用Docker的API在服務器上查找資源。他注意到有一個名為“vinewww”的開發圖像。下載代碼允許bug獵人從他的計算機上運行他自己的Vine副本。

該代碼使研究人員能夠訪問可能被惡意使用的錯誤手中的API密鑰。黑客可以通過使用這些密鑰登錄其他網站來偽裝成Vine。

Avicoder于3月21日報告了該漏洞，并于3月31日向Twitter提供了更多詳細信息。在五分鐘內修復了這個bug。Avicoder從bug賞金計劃中獲得了10,080美元。

藤被要求對這個故事發表評論，但在撰寫本文時，它沒有回應。