Matters 漏洞賞金計畫致謝

Matters Lab
·
·
IPFS
·
近期安全漏洞修復報告,與致謝參與捉蟲的朋友們。

Matters 一直在尋找更好的方式來保護用戶的資訊安全,向用戶提供穩定可靠的服務。然而網絡環境的惡化不僅體現在言論上,也體現在日益增多的數位攻擊中;有時是針對特定用戶,有時則是針對整個服務。

所以 Matters 不敢將維護用戶資訊安全的責任與權利留在小小的團隊內部,而是啟動了漏洞賞金計畫,激勵資安社區的朋友們出手協助,一同把關 Matters 服務的安全性。我們為最關鍵的漏洞類型設立了價值 500 美元的獎金,同時不管何種級別的漏洞,我們都會在 Matters 上發文致謝,在 GitHub 名譽榜中紀錄,後續也會在專屬的 Matters 開發者頁面中公布。

過去一段時間有幾位朋友提交了漏洞報告,在此向各位致以感謝。

一位是 Matters 用戶 @catding 。Catding 發現上傳文件到 IPFS 時並未檢查文檔大小,也沒有校驗文件 url 的域名,這導致用戶可以通過 Matters 的 IPFS 服務保存大型文件,增加 Matters 服務的壓力與開支。漏洞修復 PR 見這裡。同時,Catding 認為「永久存儲」有誤導之嫌,所以也提交了一個 PR 修改文章發佈的文案,將這幾個字移除。

另一位是來自 Cymetrics 的資安專家 Huli (GitHub, HitCon)。Huli 找到多處重要的漏洞:

  1. CORS 白名單檢查域名時只測試了後綴。當攻擊者使用後綴為 matters.news 的假域名製作釣魚網站時,如果騙過了用戶,便能夠獲取用戶的登陸 cookie。對應的漏洞修復見這裡
  2. 後端在接受 GraphQL 查詢時會計算請求的複雜度,並阻擋過於複雜的請求;但是這個計算過程遺漏了很多欄位,導致攻擊者可以構造複雜的查詢拖慢服務器。對應的漏洞修復見這裡
  3. 登陸頁面允許傳入任意 url 作為登陸後的重定向;攻擊者可以在 url 中編碼 JavaScript 腳本,如果能夠誘導用戶點擊並登錄,便可以形成 XSS 攻擊。對應的漏洞修復見這裡
  4. 前端在展示文章時,為優化圖片顯示會將圖片 src 改寫為適合當前屏幕大小的版本;這個過程中 src 字符串會在修改之後重新注入 DOM,而攻擊者可以在 src 字符中包含惡意代碼,形成 XSS 攻擊。
  5. 後端允許用戶提交包含 iframe 的 HTML 字符串,但是沒有過濾 iframe src;這使得攻擊者可以使用 open redirect 等手段將用戶引導到惡意網站。這一項與上一項的修復見這裡

其中,第三個漏洞屬於「中等」級別;最後兩個漏洞都是來源於後端清理 HTML 字符串時的邏輯,結合在一起屬於「重要」級別。Huli 也撰文分析了最後兩個漏洞的發現過程,有興趣的朋友可以進一步閱讀。

我們已經向 Huli 支付了100美元與150美元兩筆獎金;在 Huli 的回報之後另一位資安專家 Aidil Arief 也發現了第3個漏洞,但是漏洞已經修復、不再有效,我們僅在在 GitHub 頁面與這裡表示感謝。

再次感謝以上幾位讓 Matters 更加安全的朋友,歡迎大家以不同的方式參與 Matters 的建設。也歡迎大家加入由 @askender 創辦與維護的 Matters 第三方 Discord 社區

CC BY-NC-ND 2.0

Like my work? Don't forget to support and clap, let me know that you are with me on the road of creation. Keep this enthusiasm together!

Matters LabEnglish official account of Matters Lab, with the mission to create a freer and fairer creator ecosystem. For Mandarin community: @hi176 Announcements related to Web3: @web3

  • Collection
  • Author
  • More