Matters 漏洞賞金計畫致謝
Matters 一直在尋找更好的方式來保護用戶的資訊安全,向用戶提供穩定可靠的服務。然而網絡環境的惡化不僅體現在言論上,也體現在日益增多的數位攻擊中;有時是針對特定用戶,有時則是針對整個服務。
所以 Matters 不敢將維護用戶資訊安全的責任與權利留在小小的團隊內部,而是啟動了漏洞賞金計畫,激勵資安社區的朋友們出手協助,一同把關 Matters 服務的安全性。我們為最關鍵的漏洞類型設立了價值 500 美元的獎金,同時不管何種級別的漏洞,我們都會在 Matters 上發文致謝,在 GitHub 名譽榜中紀錄,後續也會在專屬的 Matters 開發者頁面中公布。
過去一段時間有幾位朋友提交了漏洞報告,在此向各位致以感謝。
一位是 Matters 用戶 @catding 。Catding 發現上傳文件到 IPFS 時並未檢查文檔大小,也沒有校驗文件 url 的域名,這導致用戶可以通過 Matters 的 IPFS 服務保存大型文件,增加 Matters 服務的壓力與開支。漏洞修復 PR 見這裡。同時,Catding 認為「永久存儲」有誤導之嫌,所以也提交了一個 PR 修改文章發佈的文案,將這幾個字移除。
另一位是來自 Cymetrics 的資安專家 Huli (GitHub, HitCon)。Huli 找到多處重要的漏洞:
- CORS 白名單檢查域名時只測試了後綴。當攻擊者使用後綴為 matters.news 的假域名製作釣魚網站時,如果騙過了用戶,便能夠獲取用戶的登陸 cookie。對應的漏洞修復見這裡。
- 後端在接受 GraphQL 查詢時會計算請求的複雜度,並阻擋過於複雜的請求;但是這個計算過程遺漏了很多欄位,導致攻擊者可以構造複雜的查詢拖慢服務器。對應的漏洞修復見這裡。
- 登陸頁面允許傳入任意 url 作為登陸後的重定向;攻擊者可以在 url 中編碼 JavaScript 腳本,如果能夠誘導用戶點擊並登錄,便可以形成 XSS 攻擊。對應的漏洞修復見這裡。
- 前端在展示文章時,為優化圖片顯示會將圖片 src 改寫為適合當前屏幕大小的版本;這個過程中 src 字符串會在修改之後重新注入 DOM,而攻擊者可以在 src 字符中包含惡意代碼,形成 XSS 攻擊。
- 後端允許用戶提交包含 iframe 的 HTML 字符串,但是沒有過濾 iframe src;這使得攻擊者可以使用 open redirect 等手段將用戶引導到惡意網站。這一項與上一項的修復見這裡。
其中,第三個漏洞屬於「中等」級別;最後兩個漏洞都是來源於後端清理 HTML 字符串時的邏輯,結合在一起屬於「重要」級別。Huli 也撰文分析了最後兩個漏洞的發現過程,有興趣的朋友可以進一步閱讀。
我們已經向 Huli 支付了100美元與150美元兩筆獎金;在 Huli 的回報之後另一位資安專家 Aidil Arief 也發現了第3個漏洞,但是漏洞已經修復、不再有效,我們僅在在 GitHub 頁面與這裡表示感謝。
再次感謝以上幾位讓 Matters 更加安全的朋友,歡迎大家以不同的方式參與 Matters 的建設。也歡迎大家加入由 @askender 創辦與維護的 Matters 第三方 Discord 社區。
喜欢我的作品吗?别忘了给予支持与赞赏,让我知道在创作的路上有你陪伴,一起延续这份热忱!
- 来自作者
- 相关推荐