有关T00ls出现XSS的说明以及全面征集Markdown解析导致XSS漏洞的悬赏
作为业内第一家使用Markdown的网站,T00ls是承受着比较大的压力以及冒着极大风险的。第一个吃螃蟹的人,自然知道蟹鳌的恐怖。但是我觉得这些都不能动摇和改变我们支持Markdown的决心。
T00ls的Markdown解析也是使用的开源解析代码,不可避免的会存在各种各样的问题,所以可以说出现XSS再正常不过了,所以T00ls推出Markdown的时候我就在公告里说希望大家帮忙测试漏洞。在这几十天里,已经修复了好几个XSS了,都是会员私下给我说的,我们也是第一时间响应。
对于https://www.t00ls.com/thread-40676-1-1.html帖子作者,我想说几句,首先主动报告漏洞我表示感谢,但是用漏洞来打广告个人觉得不合适,也违背T00ls的规则。再者靠这个宣传的话我觉得也没啥意义吧,在我个人看来,XSS漏洞以及使用CSRF来进行利用真的没有啥技术含量,对于漏洞花点时间总能发现,而利用10年前大家都玩烂了吧。不过我们对出现的漏洞不管多大肯定都会非常认真的重视,并第一时间作出响应。
因此,与其有可能一个小漏洞会掀起波澜,还不如我们主动征集并悬赏。
T00ls使用的Markdown开源解析代码见:https://github.com/erusev/parsedown
大家可以本地测试,如果发现XSS请及时mailto:[email protected]或者给我论坛留言或者直接微信我,一旦确认,一个漏洞奖励100TuBi。
由于T00ls早就不支持图片外链,所以目前已经取消了Markdown解析图片的功能,所有图片请上传本地。
T00ls的Markdown解析也是使用的开源解析代码,不可避免的会存在各种各样的问题,所以可以说出现XSS再正常不过了,所以T00ls推出Markdown的时候我就在公告里说希望大家帮忙测试漏洞。在这几十天里,已经修复了好几个XSS了,都是会员私下给我说的,我们也是第一时间响应。
对于https://www.t00ls.com/thread-40676-1-1.html帖子作者,我想说几句,首先主动报告漏洞我表示感谢,但是用漏洞来打广告个人觉得不合适,也违背T00ls的规则。再者靠这个宣传的话我觉得也没啥意义吧,在我个人看来,XSS漏洞以及使用CSRF来进行利用真的没有啥技术含量,对于漏洞花点时间总能发现,而利用10年前大家都玩烂了吧。不过我们对出现的漏洞不管多大肯定都会非常认真的重视,并第一时间作出响应。
因此,与其有可能一个小漏洞会掀起波澜,还不如我们主动征集并悬赏。
T00ls使用的Markdown开源解析代码见:https://github.com/erusev/parsedown
大家可以本地测试,如果发现XSS请及时mailto:[email protected]或者给我论坛留言或者直接微信我,一旦确认,一个漏洞奖励100TuBi。
由于T00ls早就不支持图片外链,所以目前已经取消了Markdown解析图片的功能,所有图片请上传本地。
关于作者
评论32次
努力挖洞吧。。。
支持各位大表哥们的决策,及时修复吧
加油吧。。
这个梗有点 厉害了 大家赶紧 搞 xss
社会我松哥,哈哈哈
t00ls加油,很棒
<scdript>alert(\sxx\)</script>
我大T00ls越办越好
楼主666,t00ls加油,很棒
瑟瑟发抖
为什么这样说咯
本来土司刚发布就想测试来着,后来心疼还得花tubi买道具贴删帖子。。。就算了。。。
<p>hello <a href='javascript:alert('xss')'href="javascript:alert(hi)"><em>you</em></a></p>
你这个能弹框?
t00ls 真硬
非常支持,有时间也挖掘下md的xss
<p>hello <a href='javascript:alert('xss')' href="javascript:alert(hi)"><em>you</em></a></p>
再者靠这个宣传的话我觉得也没啥意义吧,在我个人看来,XSS漏洞以及使用CSRF来进行利用真的没有啥技术含量,对于漏洞花点时间总能发现,而利用10年前大家都玩烂了吧。
瑟瑟发抖