前言

之前我用的是Gitalk，毕竟方便啊，Matery主题自带，只需要配置OAuth就好了。

但是在V2XE里看见有人不推荐使用，我看了一下，也有点心有余悸。

同时Gitalk总是会抽，老是发不了评论。

找Gitalk的OAuth

以xiaoleGun的博客做例子，轻喷！！！

我找到了一个Gitalk，右键另存为。

html文件用VSCode打开，

搜索clientID或者clientSecret，可以明显发现是明文保存。

clientID和clientSecret的攻击方法我没研究过，但是根据Github和Gitalk官方的文档，这两个泄露是可以删除ID所有者的所有公有仓库的。可见危害之大。

我写这篇博文是希望Gitalk和Gitment的作者可以引起重视，虽然还没有这种事件发生，但是这是个隐患。

希望看到本文的各位不要利用这个漏洞攻击，对攻击事件本人概不负责，本文提供学术交流，没有任何攻击倾向。