漏洞报告 #304073 - browser.blockstack.org 全名字段字符串大小限制缺失
漏洞标题
在常规测试中,发现用户全名字段没有限制可输入的文本量。
安全影响
当文本大小足够大时,服务在非生产环境中出现短暂中断(非高可用性环境)。内部复现显示在生产环境中存在孤立性干扰但未导致服务中断。
缓解措施
请像对邮箱和用户名字段已实施的限制一样,对全名字段的用户输入进行限制。
如果需要更多信息,请随时询问。
乐意提供帮助。
此致,
drough
补充说明
ID验证黑客 myskar 评论 - 2018年1月11日 18:49 UTC
让我更正上面报告中的安全影响字段:
当文本大小足够大时,服务在生产环境中会导致短暂中断。这可能导致服务器内存损坏。
您应该将全名字段的大小限制在40到75个字符。
再次感谢。
开发团队回应
a-hiro 评论 - 2018年1月12日 15:19 UTC
感谢关注此问题。我们认为这不是漏洞——错误仅发生在客户端,因为所有解析逻辑都在浏览器客户端执行。大的全名不会影响其他用户的服务正常运行时间。
进一步讨论
myskar 评论 - 2018年1月12日 18:24 UTC
这确实在我们的非生产环境中导致了短暂中断...我不仅仅是为了报告漏洞而这样做。它可能导致服务器内存损坏...公司应该将全名字段大小限制在40到75个字符。😃
myskar 评论 - 2018年1月12日 19:59 UTC
@ablankstein 另外我想补充这个密钥链绕过,请看我的视频POC:
[附件:poc.mp4]
最终处理
a-hiro 评论 - 2018年1月12日 20:01 UTC
再次说明——这些数据不会导致服务器损坏,因为这些信息保持在客户端,所以只有攻击者自己的实例会受到影响。
a-hiro 评论 - 2018年1月日 21:55 UTC
您展示的视频确实是一个bug,但我们不认为这是安全漏洞。此提示仅用于鼓励用户保护他们的密钥链——如果他们故意绕过此提示,可能导致他们丢失自己的密钥链,但这只是他们自愿的行为。
报告状态更新
- 报告被标记为"信息性"
- 无严重性评级
- 无赏金奖励
- 报告已于2025年10月31日公开披露
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
