Matters 漏洞赏金计画致谢

Matters 一直在寻找更好的方式来保护用户的资讯安全，向用户提供稳定可靠的服务。然而网络环境的恶化不仅体现在言论上，也体现在日益增多的数位攻击中；有时是针对特定用户，有时则是针对整个服务。

所以Matters 不敢将维护用户资讯安全的责任与权利留在小小的团队内部，而是启动了漏洞赏金计画，激励资安社区的朋友们出手协助，一同把关Matters 服务的安全性。我们为最关键的漏洞类型设立了价值500 美元的奖金，同时不管何种级别的漏洞，我们都会在Matters 上发文致谢，在GitHub 名誉榜中纪录，后续也会在专属的Matters 开发者页面中公布。

过去一段时间有几位朋友提交了漏洞报告，在此向各位致以感谢。

一位是Matters 用户@catding。 Catding 发现上传文件到IPFS 时并未检查文档大小，也没有校验文件url 的域名，这导致用户可以通过Matters 的IPFS 服务保存大型文件，增加Matters 服务的压力与开支。漏洞修复PR 见这里。同时，Catding 认为「永久存储」有误导之嫌，所以也提交了一个PR修改文章发布的文案，将这几个字移除。

另一位是来自Cymetrics 的资安专家Huli ( GitHub , HitCon )。 Huli 找到多处重要的漏洞：

1. CORS 白名单检查域名时只测试了后缀。当攻击者使用后缀为matters.news 的假域名制作钓鱼网站时，如果骗过了用户，便能够获取用户的登陆cookie。对应的漏洞修复见这里。
2. 后端在接受GraphQL 查询时会计算请求的复杂度，并阻挡过于复杂的请求；但是这个计算过程遗漏了很多栏位，导致攻击者可以构造复杂的查询拖慢服务器。对应的漏洞修复见这里。
3. 登陆页面允许传入任意url 作为登陆后的重定向；攻击者可以在url 中编码JavaScript 脚本，如果能够诱导用户点击并登录，便可以形成XSS 攻击。对应的漏洞修复见这里。
4. 前端在展示文章时，为优化图片显示会将图片src 改写为适合当前屏幕大小的版本；这个过程中src 字符串会在修改之后重新注入DOM，而攻击者可以在src 字符中包含恶意代码，形成XSS 攻击。
5. 后端允许用户提交包含iframe 的HTML 字符串，但是没有过滤iframe src；这使得攻击者可以使用open redirect 等手段将用户引导到恶意网站。这一项与上一项的修复见这里。

其中，第三个漏洞属于「 中等」级别；最后两个漏洞都是来源于后端清理HTML 字符串时的逻辑，结合在一起属于「 重要」级别。 Huli 也撰文分析了最后两个漏洞的发现过程，有兴趣的朋友可以进一步阅读。

我们已经向Huli 支付了100美元与150美元两笔奖金；在Huli 的回报之后另一位资安专家Aidil Arief也发现了第3个漏洞，但是漏洞已经修复、不再有效，我们仅在在GitHub 页面与这里表示感谢。

再次感谢以上几位让Matters 更加安全的朋友，欢迎大家以不同的方式参与Matters 的建设。也欢迎大家加入由@askender创办与维护的Matters 第三方Discord 社区。