标签: 安全

CVE-2022-30781:一条普通的 Git 命令导致的 Gitea RCE

随便写写 5722 字 / 14 分钟 3 条评论 4,401 次围观

本文首发于跳跳糖 https://tttang.com/archive/1607/ 今年过年放假的时候,我就在挖 Go 相关开源项目的 Security Bounty。通过整理分析现有 Go 开源项目的历史 CVE,我大致摸索出了 Go 项目易出现漏洞的一些地方,以及开发人员经常会疏忽的问题。 前后提交的几个漏洞让我有了好几个 CVE,并且小赚了一笔,换算成人民币应该接近六位数了。😈 具体可以阅读

简单地聊聊 GitHub 信息泄露监控

编程那点事随便写写 4439 字 / 11 分钟 2 条评论 9,105 次围观

去年 5 月份的时候,bilibili 源码泄露,B 站虽然一波 DMCA 下架了一堆仓库,但那也是无济于事。直到现在,在 GitHub 上搜索”bilibili.com”,还是能搜出一大片当时泄露的源码。这反倒是给寻找新的泄露情报带来了干扰,B 站这可能也是因祸得福吧。 我在去年 12 月份的时候,在 bilibili 泄露的那份源码里,找到了两处还未被修复的敏感信息泄露,提交给了 BiliSR