有关T00ls出现XSS的说明以及全面征集Markdown解析导致XSS漏洞的悬赏

2017-06-26 01:33:47 32 1972
作为业内第一家使用Markdown的网站,T00ls是承受着比较大的压力以及冒着极大风险的。第一个吃螃蟹的人,自然知道蟹鳌的恐怖。但是我觉得这些都不能动摇和改变我们支持Markdown的决心。



T00ls的Markdown解析也是使用的开源解析代码,不可避免的会存在各种各样的问题,所以可以说出现XSS再正常不过了,所以T00ls推出Markdown的时候我就在公告里说希望大家帮忙测试漏洞。在这几十天里,已经修复了好几个XSS了,都是会员私下给我说的,我们也是第一时间响应。

对于https://www.t00ls.net/thread-40676-1-1.html帖子作者,我想说几句,首先主动报告漏洞我表示感谢,但是用漏洞来打广告个人觉得不合适,也违背T00ls的规则。再者靠这个宣传的话我觉得也没啥意义吧,在我个人看来,XSS漏洞以及使用CSRF来进行利用真的没有啥技术含量,对于漏洞花点时间总能发现,而利用10年前大家都玩烂了吧。不过我们对出现的漏洞不管多大肯定都会非常认真的重视,并第一时间作出响应。

因此,与其有可能一个小漏洞会掀起波澜,还不如我们主动征集并悬赏。

T00ls使用的Markdown开源解析代码见:https://github.com/erusev/parsedown

大家可以本地测试,如果发现XSS请及时mailto:admin@t00ls.net或者给我论坛留言或者直接微信我,一旦确认,一个漏洞奖励100TuBi。

由于T00ls早就不支持图片外链,所以目前已经取消了Markdown解析图片的功能,所有图片请上传本地。

关于作者

t00ls管理团队01554篇文章1759篇回复T00ls认证管理员,如需认证,请联系admin@t00ls.net

努力建设T00ls……努力建设T00ls……

评论32次

要评论?请先  登录  或  注册