首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
宝塔
V2EX  ›  全球工单系统

腾讯代码托管有严重安全漏洞,大家看看有没有代码泄露

  •  
  •   clarkxu · 239 天前 · 2468 次点击
    这是一个创建于 239 天前的主题,其中的信息可能已经有所发展或是发生改变。

    前两天在群里面爆了一个腾讯代码托管的漏洞,以前是 TGit,现在叫工蜂。昨晚验证了一下,真的很严重,各位有用工蜂的看一下自己的密码和代码还在不在。

    现象如下,具体原理我没搞太清楚,应该是 XSS,任何访问 https://git.code.tencent.com/tencent/TencentGit/tree/ff01797bdbb681b2570e0b608812722117260e5f 都会出现以下界面 输入图片说明

    这是腾讯官方账号的公开页面,所有人都可以访问。因为我注册了一个工蜂新账号,所以里面啥也没有。我点击了那个按钮,我验证了一下我的密码确实被修改成了 12345678 …… 然后我想去修改密码页面再改回来

    输入图片说明 竟然修改密码是不需要验证原密码的,产品经理要下课了吧……

    这个漏洞应该存在很久了,只是最近爆出来了,不知道有没有被恶意利用过。理论上只要是登录用户,访问工蜂的公开页面都有可能在不知不觉中被修改密码,等于用户名密码都泄露了,个人信息,代码也就泄露了。各位查下一把。

    26 回复  |  直到 2019-03-27 11:41:59 +08:00
        1
    Kevin20190000   239 天前
    不知道腾讯还有这个代码托管系统。。。
        2
    InnerPeace715   239 天前
    刚看了一眼,link 已经被删掉了,现在是啥意思?要改密码吗?
        3
    Liviaaaaa   239 天前
    这个是腾讯云那个吗,果然不靠谱
        4
    lamian233   239 天前
    前一阵子不是阿里云也出事了吗?大厂都不靠谱啊!
        5
    luzemin   239 天前
    github:不是我吹,再做的都是垃圾
        6
    zhlmmc   239 天前
    引以为鉴,做公有云不容易
        7
    leemink   239 天前
    感觉 V2EX 上黑腾讯就是政治正确,呵呵
        8
    jack230230   239 天前
    @Kevin20190000 基于 GitLab 搞的,继承了对应的 Bug
    https://gitlab.com/gitlab-org/gitlab-ce/issues/30527 这个 GitLab 的 Bug 工蜂没修貌似,N 久了。
        9
    jayz123   239 天前
    @jack230230 如果是这样的话,自己搭建的 gitlab 老版本也有这个问题?
        10
    snowxxx   239 天前 via iPhone
    这是恶作剧啊,不过看起来问题很严重,系统安全性太差
        11
    jack230230   239 天前
    @jayz123 你可以看下那个链接的情况,私有部署的话,内部没人恶意也还 ok,公有云总是会有人恶意窃取信息的,因为有黑产啊,而且他这个这么久了,不知道啥情况。
        12
    luajava000   239 天前 via iPhone
    测试了一下,问题已经修复了。
        13
    Bazingawang   239 天前
    @Liviaaaaa 您好,腾讯云开发者平台的服务不受影响的,您可以放心使用。
        14
    xulei888   239 天前
    @InnerPeace715 那个链接还是可以打开,但是页面显示正常。之前我用腾讯云账号登陆过工蜂,如果密码会被修改的话,跟腾讯云账号密码有关系吗?
        15
    bigfish911   239 天前 via iPhone
    @luajava000 怎么测试的?是植入的 xss 嘛?
        16
    yanjingg   239 天前
    Bitbucket 还可以,自己用用。公司还在用 svn ……
        17
    InnerPeace715   239 天前 via iPhone
    @xulei888 老哥我也不知道啊。。。还好里面没放啥东西
        18
    superchina   239 天前 via iPhone
    有人来解释一下这个怎么做到的吗?网页已经打不开了
        19
    clarkxu   239 天前
    @xulei888 我的理解是跟腾讯云账号没有关系,我用微信登录的,不可能把微信密码改了吧?
        20
    clarkxu   239 天前
    @superchina 楼上有人回复了 gitlab 那个漏洞。通过 submodule 推送 JS 代码到仓库中,文件名就是 JS 代码,页面在渲染的时候会执行。
        21
    love999999   239 天前
    这个跟微信去年推出的代码托管是不是同一个?
        22
    hangzhou777   239 天前
    刚注册了一个工蜂,现在看起来没啥问题。官方也不出来说明到底有没有数据泄露,估计死无对证了,哈哈哈
        23
    superchina   238 天前
    @clarkxu 多谢,我去研究一下。
        24
    Kevin20190000   238 天前
    @luzemin 我这边经常 Github 拉代码会中断,又不想自己折腾 gitlab。
        25
    joejhy   238 天前 via iPhone
    @xulei888,@clarkxu,改密码应该不会吧,而且没有对应的密码,你也不可能看到别人代码。估计就是一些前端的 bug,尝试了一下,目前看都是正常的。腾讯云的账号体系比这个复杂多了,这里不会影响的。
        26
    xulei888   238 天前
    @joejhy 恩,我去看了一下,这个密码跟登陆腾讯云的密码不是一回事但是. 但是这个 bug 确实是 xss 可以导致密码被修改掉。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   4146 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 23ms · UTC 01:39 · PVG 09:39 · LAX 17:39 · JFK 20:39
    ♥ Do have faith in what you're doing.