腾讯代码托管有严重安全漏洞,大家看看有没有代码泄露

2019-03-26 14:44:36 +08:00
 clarkxu

前两天在群里面爆了一个腾讯代码托管的漏洞,以前是 TGit,现在叫工蜂。昨晚验证了一下,真的很严重,各位有用工蜂的看一下自己的密码和代码还在不在。

现象如下,具体原理我没搞太清楚,应该是 XSS,任何访问 https://git.code.tencent.com/tencent/TencentGit/tree/ff01797bdbb681b2570e0b608812722117260e5f 都会出现以下界面

这是腾讯官方账号的公开页面,所有人都可以访问。因为我注册了一个工蜂新账号,所以里面啥也没有。我点击了那个按钮,我验证了一下我的密码确实被修改成了 12345678 …… 然后我想去修改密码页面再改回来

竟然修改密码是不需要验证原密码的,产品经理要下课了吧……

这个漏洞应该存在很久了,只是最近爆出来了,不知道有没有被恶意利用过。理论上只要是登录用户,访问工蜂的公开页面都有可能在不知不觉中被修改密码,等于用户名密码都泄露了,个人信息,代码也就泄露了。各位查下一把。

5721 次点击
所在节点    全球工单系统
26 条回复
love999999
2019-03-26 23:10:06 +08:00
这个跟微信去年推出的代码托管是不是同一个?
hangzhou777
2019-03-26 23:17:31 +08:00
刚注册了一个工蜂,现在看起来没啥问题。官方也不出来说明到底有没有数据泄露,估计死无对证了,哈哈哈
superchina
2019-03-27 09:51:24 +08:00
@clarkxu 多谢,我去研究一下。
Kevin20190000
2019-03-27 09:57:07 +08:00
@luzemin 我这边经常 Github 拉代码会中断,又不想自己折腾 gitlab。
joejhy
2019-03-27 10:41:15 +08:00
@xulei888,@clarkxu,改密码应该不会吧,而且没有对应的密码,你也不可能看到别人代码。估计就是一些前端的 bug,尝试了一下,目前看都是正常的。腾讯云的账号体系比这个复杂多了,这里不会影响的。
xulei888
2019-03-27 11:41:59 +08:00
@joejhy 恩,我去看了一下,这个密码跟登陆腾讯云的密码不是一回事但是. 但是这个 bug 确实是 xss 可以导致密码被修改掉。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/548726

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX