Matters 漏洞赏金计画致谢
Matters 一直在寻找更好的方式来保护用户的资讯安全,向用户提供稳定可靠的服务。然而网络环境的恶化不仅体现在言论上,也体现在日益增多的数位攻击中;有时是针对特定用户,有时则是针对整个服务。
所以Matters 不敢将维护用户资讯安全的责任与权利留在小小的团队内部,而是启动了漏洞赏金计画,激励资安社区的朋友们出手协助,一同把关Matters 服务的安全性。我们为最关键的漏洞类型设立了价值500 美元的奖金,同时不管何种级别的漏洞,我们都会在Matters 上发文致谢,在GitHub 名誉榜中纪录,后续也会在专属的Matters 开发者页面中公布。
过去一段时间有几位朋友提交了漏洞报告,在此向各位致以感谢。
一位是Matters 用户@catding。 Catding 发现上传文件到IPFS 时并未检查文档大小,也没有校验文件url 的域名,这导致用户可以通过Matters 的IPFS 服务保存大型文件,增加Matters 服务的压力与开支。漏洞修复PR 见这里。同时,Catding 认为「永久存储」有误导之嫌,所以也提交了一个PR修改文章发布的文案,将这几个字移除。
另一位是来自Cymetrics 的资安专家Huli ( GitHub , HitCon )。 Huli 找到多处重要的漏洞:
- CORS 白名单检查域名时只测试了后缀。当攻击者使用后缀为matters.news 的假域名制作钓鱼网站时,如果骗过了用户,便能够获取用户的登陆cookie。对应的漏洞修复见这里。
- 后端在接受GraphQL 查询时会计算请求的复杂度,并阻挡过于复杂的请求;但是这个计算过程遗漏了很多栏位,导致攻击者可以构造复杂的查询拖慢服务器。对应的漏洞修复见这里。
- 登陆页面允许传入任意url 作为登陆后的重定向;攻击者可以在url 中编码JavaScript 脚本,如果能够诱导用户点击并登录,便可以形成XSS 攻击。对应的漏洞修复见这里。
- 前端在展示文章时,为优化图片显示会将图片src 改写为适合当前屏幕大小的版本;这个过程中src 字符串会在修改之后重新注入DOM,而攻击者可以在src 字符中包含恶意代码,形成XSS 攻击。
- 后端允许用户提交包含iframe 的HTML 字符串,但是没有过滤iframe src;这使得攻击者可以使用open redirect 等手段将用户引导到恶意网站。这一项与上一项的修复见这里。
其中,第三个漏洞属于「 中等」级别;最后两个漏洞都是来源于后端清理HTML 字符串时的逻辑,结合在一起属于「 重要」级别。 Huli 也撰文分析了最后两个漏洞的发现过程,有兴趣的朋友可以进一步阅读。
我们已经向Huli 支付了100美元与150美元两笔奖金;在Huli 的回报之后另一位资安专家Aidil Arief也发现了第3个漏洞,但是漏洞已经修复、不再有效,我们仅在在GitHub 页面与这里表示感谢。
再次感谢以上几位让Matters 更加安全的朋友,欢迎大家以不同的方式参与Matters 的建设。也欢迎大家加入由@askender创办与维护的Matters 第三方Discord 社区。
喜欢我的作品吗?别忘了给予支持与赞赏,让我知道在创作的路上有你陪伴,一起延续这份热忱!
- 来自作者
- 相关推荐