Matters 漏洞赏金计画致谢

Matters Lab
·
·
IPFS
·
近期安全漏洞修复报告,与致谢参与捉虫的朋友们。

Matters 一直在寻找更好的方式来保护用户的资讯安全,向用户提供稳定可靠的服务。然而网络环境的恶化不仅体现在言论上,也体现在日益增多的数位攻击中;有时是针对特定用户,有时则是针对整个服务。

所以Matters 不敢将维护用户资讯安全的责任与权利留在小小的团队内部,而是启动了漏洞赏金计画,激励资安社区的朋友们出手协助,一同把关Matters 服务的安全性。我们为最关键的漏洞类型设立了价值500 美元的奖金,同时不管何种级别的漏洞,我们都会在Matters 上发文致谢,在GitHub 名誉榜中纪录,后续也会在专属的Matters 开发者页面中公布。

过去一段时间有几位朋友提交了漏洞报告,在此向各位致以感谢。

一位是Matters 用户@catding。 Catding 发现上传文件到IPFS 时并未检查文档大小,也没有校验文件url 的域名,这导致用户可以通过Matters 的IPFS 服务保存大型文件,增加Matters 服务的压力与开支。漏洞修复PR 见这里。同时,Catding 认为「永久存储」有误导之嫌,所以也提交了一个PR修改文章发布的文案,将这几个字移除。

另一位是来自Cymetrics 的资安专家Huli ( GitHub , HitCon )。 Huli 找到多处重要的漏洞:

  1. CORS 白名单检查域名时只测试了后缀。当攻击者使用后缀为matters.news 的假域名制作钓鱼网站时,如果骗过了用户,便能够获取用户的登陆cookie。对应的漏洞修复见这里
  2. 后端在接受GraphQL 查询时会计算请求的复杂度,并阻挡过于复杂的请求;但是这个计算过程遗漏了很多栏位,导致攻击者可以构造复杂的查询拖慢服务器。对应的漏洞修复见这里
  3. 登陆页面允许传入任意url 作为登陆后的重定向;攻击者可以在url 中编码JavaScript 脚本,如果能够诱导用户点击并登录,便可以形成XSS 攻击。对应的漏洞修复见这里
  4. 前端在展示文章时,为优化图片显示会将图片src 改写为适合当前屏幕大小的版本;这个过程中src 字符串会在修改之后重新注入DOM,而攻击者可以在src 字符中包含恶意代码,形成XSS 攻击。
  5. 后端允许用户提交包含iframe 的HTML 字符串,但是没有过滤iframe src;这使得攻击者可以使用open redirect 等手段将用户引导到恶意网站。这一项与上一项的修复见这里

其中,第三个漏洞属于「 中等」级别;最后两个漏洞都是来源于后端清理HTML 字符串时的逻辑,结合在一起属于「 重要」级别。 Huli 也撰文分析了最后两个漏洞的发现过程,有兴趣的朋友可以进一步阅读。

我们已经向Huli 支付了100美元与150美元两笔奖金;在Huli 的回报之后另一位资安专家Aidil Arief也发现了第3个漏洞,但是漏洞已经修复、不再有效,我们仅在在GitHub 页面与这里表示感谢。

再次感谢以上几位让Matters 更加安全的朋友,欢迎大家以不同的方式参与Matters 的建设。也欢迎大家加入由@askender创办与维护的Matters 第三方Discord 社区

CC BY-NC-ND 2.0 授权

喜欢我的作品吗?别忘了给予支持与赞赏,让我知道在创作的路上有你陪伴,一起延续这份热忱!

Matters LabEnglish official account of Matters Lab, with the mission to create a freer and fairer creator ecosystem. For Mandarin community: @hi176 Announcements related to Web3: @web3

  • 来自作者
  • 相关推荐

ZuSocial Decentralized Social Day Agenda Announced : Nov. 7th at Istanbul

Become the Ambassador for ZuSocial Hacker House in Istanbul

ZuSocial Hacker House Istanbul Opens Doors for 20 Hackers in Istanbul, November 5th-19th