前两天在群里面爆了一个腾讯代码托管的漏洞,以前是 TGit,现在叫工蜂。昨晚验证了一下,真的很严重,各位有用工蜂的看一下自己的密码和代码还在不在。
现象如下,具体原理我没搞太清楚,应该是 XSS,任何访问 https://git.code.tencent.com/tencent/TencentGit/tree/ff01797bdbb681b2570e0b608812722117260e5f 都会出现以下界面
这是腾讯官方账号的公开页面,所有人都可以访问。因为我注册了一个工蜂新账号,所以里面啥也没有。我点击了那个按钮,我验证了一下我的密码确实被修改成了 12345678 …… 然后我想去修改密码页面再改回来
这个漏洞应该存在很久了,只是最近爆出来了,不知道有没有被恶意利用过。理论上只要是登录用户,访问工蜂的公开页面都有可能在不知不觉中被修改密码,等于用户名密码都泄露了,个人信息,代码也就泄露了。各位查下一把。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.