你们扇贝单词这个产品的 Web 前端,自建例句是可以直接写 HTML 和 JS 的啊,从前端到后端都没转义,直接就扔数据库里了
如果用户写 JS 有问题,下次到这个单词 JS 解释器直接就抛异常,页面就白屏了
这还算好的,如果自建例句被选为共享例句(如果有这个可能的话 - 因为似乎并不是每一句都是人工筛选的,个人猜测很可能是选一批用户例句就共享给所有人了),那就是直接给用户发送恶意 JS 啊
(自建笔记还没测试,请通知相关人员也检查一下)
1
lucybenz 2017-09-03 07:18:52 +08:00
围观
|
2
karia OP 还有我想知道贵司有没有专门的产品论坛啊,在[感觉到处都是小朋友的扇贝单词的使用答疑论坛]( https://www.shanbay.com/forum/uses/#p1)发 Feature Request 和 Issue 感觉无比奇异
|
3
karia OP 亏了,我应该起个更震惊的标题
|
4
ctsed 2017-09-03 08:47:47 +08:00 via Android
有 xss 注入
|
5
stillsilly 2017-09-03 09:06:05 +08:00 via iPhone
厉害了
|
6
kindjeff 2017-09-03 09:08:21 +08:00
正好周末……
已经截图发公司群里了。你也可以直接随便打开个扇贝的 APP 然后提反馈,反馈是会被看见的。 |
7
karia OP @kindjeff 顺便我已经往自己的 rapacious 这个词的自建例句里插了段不能跑的 JS,现在用 web 端一到这个单词 JS 就挂了,该怎么处理?
从 URL 来看,我的 UID 应该是 49445620,还有一个应该是 local 到用户的单词唯一索引 52674544009 |
10
xiawinter 2017-09-03 11:07:04 +08:00
@karia 已经 fixed 了, 这个 bug 持续了一段时间了, 非常感谢。 你的句子我已经删掉了,应该可以继续使用了。
|
11
xiawinter 2017-09-03 11:07:32 +08:00
笔记我们测试过,应该是安全的。
|
13
qfdk 2017-09-03 16:18:07 +08:00 via iPhone
围观搞事情大佬 其实不说可以走一波广告的
|
14
AltairT 2017-09-03 17:08:16 +08:00 via iPhone
web 端……大佬上班抽空带薪背单词吗?😂
|
15
karia OP |