前言

之前我用的是Gitalk,毕竟方便啊,Matery主题自带,只需要配置OAuth就好了。

但是在V2XE里看见有人不推荐使用,我看了一下,也有点心有余悸。

同时Gitalk总是会抽,老是发不了评论。

找Gitalk的OAuth

xiaoleGun的博客做例子,轻喷!!!

我找到了一个Gitalk,右键另存为

html文件用VSCode打开,

搜索clientID或者clientSecret,可以明显发现是明文保存。

clientIDclientSecret的攻击方法我没研究过,但是根据Github和Gitalk官方的文档,这两个泄露是可以删除ID所有者的所有公有仓库的。可见危害之大。

写在最后

我写这篇博文是希望Gitalk和Gitment的作者可以引起重视,虽然还没有这种事件发生,但是这是个隐患。

希望看到本文的各位不要利用这个漏洞攻击,对攻击事件本人概不负责,本文提供学术交流,没有任何攻击倾向。