Matters 漏洞賞金計畫致謝

Matters 一直在尋找更好的方式來保護用戶的資訊安全，向用戶提供穩定可靠的服務。然而網絡環境的惡化不僅體現在言論上，也體現在日益增多的數位攻擊中；有時是針對特定用戶，有時則是針對整個服務。

所以 Matters 不敢將維護用戶資訊安全的責任與權利留在小小的團隊內部，而是啟動了漏洞賞金計畫，激勵資安社區的朋友們出手協助，一同把關 Matters 服務的安全性。我們為最關鍵的漏洞類型設立了價值 500 美元的獎金，同時不管何種級別的漏洞，我們都會在 Matters 上發文致謝，在 GitHub 名譽榜中紀錄，後續也會在專屬的 Matters 開發者頁面中公布。

過去一段時間有幾位朋友提交了漏洞報告，在此向各位致以感謝。

一位是 Matters 用戶 @catding 。Catding 發現上傳文件到 IPFS 時並未檢查文檔大小，也沒有校驗文件 url 的域名，這導致用戶可以通過 Matters 的 IPFS 服務保存大型文件，增加 Matters 服務的壓力與開支。漏洞修復 PR 見這裡。同時，Catding 認為「永久存儲」有誤導之嫌，所以也提交了一個 PR 修改文章發佈的文案，將這幾個字移除。

另一位是來自 Cymetrics 的資安專家 Huli (GitHub, HitCon)。Huli 找到多處重要的漏洞：

1. CORS 白名單檢查域名時只測試了後綴。當攻擊者使用後綴為 matters.news 的假域名製作釣魚網站時，如果騙過了用戶，便能夠獲取用戶的登陸 cookie。對應的漏洞修復見這裡。
2. 後端在接受 GraphQL 查詢時會計算請求的複雜度，並阻擋過於複雜的請求；但是這個計算過程遺漏了很多欄位，導致攻擊者可以構造複雜的查詢拖慢服務器。對應的漏洞修復見這裡。
3. 登陸頁面允許傳入任意 url 作為登陸後的重定向；攻擊者可以在 url 中編碼 JavaScript 腳本，如果能夠誘導用戶點擊並登錄，便可以形成 XSS 攻擊。對應的漏洞修復見這裡。
4. 前端在展示文章時，為優化圖片顯示會將圖片 src 改寫為適合當前屏幕大小的版本；這個過程中 src 字符串會在修改之後重新注入 DOM，而攻擊者可以在 src 字符中包含惡意代碼，形成 XSS 攻擊。
5. 後端允許用戶提交包含 iframe 的 HTML 字符串，但是沒有過濾 iframe src；這使得攻擊者可以使用 open redirect 等手段將用戶引導到惡意網站。這一項與上一項的修復見這裡。

其中，第三個漏洞屬於「中等」級別；最後兩個漏洞都是來源於後端清理 HTML 字符串時的邏輯，結合在一起屬於「重要」級別。Huli 也撰文分析了最後兩個漏洞的發現過程，有興趣的朋友可以進一步閱讀。

我們已經向 Huli 支付了100美元與150美元兩筆獎金；在 Huli 的回報之後另一位資安專家 Aidil Arief 也發現了第3個漏洞，但是漏洞已經修復、不再有效，我們僅在在 GitHub 頁面與這裡表示感謝。

再次感謝以上幾位讓 Matters 更加安全的朋友，歡迎大家以不同的方式參與 Matters 的建設。也歡迎大家加入由 @askender 創辦與維護的 Matters 第三方 Discord 社區。