JIRA是目前比较流行的基于Java架构的管理系统，开发者是 Atlassian，是集项目计划、任务分配、需求管理、错误跟踪于一体的商业软件。由于Atlassian公司对很多开源项目实行免费提供缺陷跟踪服务，因此在开源领域，其认知度比其他的产品要高得多，而且易用性也好一些。目前，它已被122个国家的135000多家公司使用。

不过最近，安全工程师Avinash Jain发现了JIRA服务器中的错误配置漏洞，该漏洞允许任何人访问内部用户数据，包括他们的姓名，电子邮件ID以及用户的正在进行的项目的详细信息。

受影响的客户包括 NASA，谷歌，雅虎，Go-Jek，HipChat，Zendesk，Sapient，Dubsmash，西联汇款，联想，1password，Informatica等公司，以及世界各地政府的许多部门也遭受同样的影响，如欧洲政府，联合国，美国航天局，巴西政府运输部门的网站等。

JIRA中的错误权限配置

错误配置问题是由于在创建过滤器和仪表板时分配了错误的权限，而在创建新过滤器或仪表板时，默认情况下将可视性设置为所有用户和所有人，而不是共享组织中的所有人。

如果权限设置为所有人，那么任何人都可以通过URL访问敏感数据，并且还可以被搜索引擎检索到。泄漏暴露出以下敏感细节：

1. 所有帐户的员工姓名和电子邮件；

2. 员工在JIRA小组的角色；

3. 当前项目在JIRA仪表板或过滤器中的进展度。

通过使用Google dork搜索查询，任何人都可以编写搜索查询并从JIRA服务器中提取敏感信息。

在Google引擎里，有一种行内人都称之为 Google Dork的搜索方法，这个词语的大概意思就是说这种信息虽然没有禁止Google收录，但是往往是安全或者致命的信息，比如phpMyAdmin初始化的时候，如果没有设置密码，或者管理员没有删除类似的初始化页面，默认页一般是初始化操作，比如Welcome to phpMyAdmin,然后让你创建一个数据库（Create new database），那你如果搜索"Welcome to phpMyAdmin" AND " Create new database"的话，Google会给你一大批记录。

Avinash Jain说：

“成千上万的公司过滤器，仪表板和员工数据公开曝光。之所以出现这种情况，是因为过滤器和仪表板设置了错误的权限方案，因此即使对非登录用户也可以访问，从而导致敏感数据泄露。”

来看看一些泄露的数据

1.JIRA过滤器可以被公开访问

2.NASA项目详情

如上所示，由于这些配置错误的JIRA设置，它会公开员工姓名，员工角色，项目进展以及各种其他信息。

现在，看看Avinash Jain是如何通过来自“Google dork”找到这些公开曝光的用户选择器功能、过滤器以及许多公司的仪表板的URL的。

Google 的搜索如下：

inurl:/UserPickerBrowser.jspa -intitle:Login -intitle:Log

然后结果就出来了，如下图所示：

此查询列出了其URI中具有“UserPickerBrowser”的所有URL，以查找公开而且不需要经过身份验证的所有配置错误的 JIRA 用户选择器功能，其中就包括谷歌收购Apigee员工的机密数据。

再比如以下创建的这个搜索查询：

inurl:/ManageFilters.jspa?filterView=popular AND ( intext:All users OR intext:Shared with the public OR intext:Public )

此查询列出了所有在其URI中具有“Managefilters”并且文本为“Public”的URL，以便找到所有公开暴露且未经过身份验证的错误配置的JIRA过滤器。结果如下图如下：

再比如以下创建的这个搜索查询：

inurl:/ConfigurePortalPages!default.jspa?view=popular

此查询会列出其URI中具有“ConfigurePortalPages”的所有URL，以查找公开公开的所有JIRA仪表板。

另外， Avinash Jain 发现在以上提到的泄漏公司中都有包含“company.atlassian.net”格式的JIRA URL，因此如果你想检查任何配置错误的过滤器，仪表板或用户选择器功能的公司，你只需将他们的名字放在URL中即可查询 到相关泄漏信息。

https://companyname.atlassian.net/secure/popups/UserPickerBrowser.jspa
https://companyname.atlassian.net/secure/ManageFilters.jspa?filterView=popular 
https://companyname.atlassian.net/secure/ConfigurePortalPages!default.jspa?view=popular

在此，建议Atlassian（JIRA）必须处理并更明确地明确“任何登录用户”的含义。

本文翻译自：https://medium.com/@logicbomb_1/one-misconfig-jira-to-leak-them-all-including-nasa-and-hundreds-of-fortune-500-companies-a70957ef03c7 https://gbhackers.com/jira-servers-data-leak/如若转载，请注明原文地址： https://www.4hou.com/info/news/19566.html