Bug使Vine的源代码公开化

一个错误允许安全研究人员下载Vine的完整源代码。这位研究人员在绰号Avicoder的指导下，在寻找可能导致6秒视频服务的bug赏金计划奖励的故障时发现了这个漏洞。在博客文章中，Avicoder在检查网站的安全措施后发现了“期待已久的错误”。他对Vine的母网站Twitter感兴趣，该网站在发现错误后迅速付清。

使用名为Censys.io的工具后，Avicoder发现了一个子域。子域docker.vineapp.com在浏览器中显示消息“/ * private docker registry * /”。“如果它应该是私有的，为什么它可以公开访问?这里必须有其他东西。在google搜索/ *私有docker注册表* /我知道Docker提供了一个允许开发人员托管的功能并通过网络分享图像，“他说。“在确定Docker注册表未使用最新版本(V2)并且端点与以前版本不同之后，我需要使用V1文档来访问它们。只有在那之后我才能从服务器获得一些有用的响应，“ 他加了。

然后，Avicoder使用Docker的API在服务器上查找资源。他注意到有一个名为“vinewww”的开发图像。下载代码允许bug猎人从他的计算机上运行他自己的Vine副本。

该代码使研究人员能够访问可能被恶意使用的错误手中的API密钥。黑客可以通过使用这些密钥登录其他网站来伪装成Vine。

Avicoder于3月21日报告了该漏洞，并于3月31日向Twitter提供了更多详细信息。在五分钟内修复了这个bug。Avicoder从bug赏金计划中获得了10,080美元。

藤被要求对这个故事发表评论，但在撰写本文时，它没有回应。