平台为据报道的“低严重程度”支付高度奖励
一名研究人员在发现了一种欺骗平台登录界面的方法后,从GitHub获得了10,000美元的Bug Bounty奖励。
Saajan Bhujel找到了一个旁路,使他能够更改网站的CSS,从而诱使用户登录假页。beplay体育能用吗
GitHub使用Mathjax,一个开源JavaScript显示乳胶,MathML和Asciimath符号的引擎。
用户可以通过MathJax库在Markdown中渲染或显示数学表达式。
Bhujel通过注入过滤和删除的恶意标签,找到了一种绕过MathJax的HTML过滤的方法,然后使他能够注入欺骗GitHub登录接口的元素。
他最初将这个问题报告给github使用其他技术,如博客文章。
当Github指出他的提交是重复的时,Bhujel使用了另一种技术使他能够找到旁路。
研究人员告诉每日swbeplay2018官网ig尽管最初将其报告为低严重性问题,但他对10,000美元的奖励感到“很高兴”。