您好,我们收到了关于 Discourse 网站的 HackenProof 赏金。我们已升级到 v3.10.beta3 +155,但在发布说明中没有找到与我们收到的赏金相关的任何内容。这是新问题还是不值得关注?
影响
风险在于攻击者可以获取源代码、敏感信息和非公开 API。
建议
临时解决方案是删除代码目录中的 .map 文件;永久解决方案是禁用构建过程中生成映射文件的功能。
我认为您可以参考此链接 https://docs.fluidattacks.com/criteria/vulnerabilities/236/
我认为答案是没有非公开API。它记录在 GitHub - discourse/discourse: A platform for community discussion. Free, open, simple. 上,如果你不知道如何阅读它,你总是可以逆向工程Discourse API。
我真的很讨厌虚假的垃圾安全信息。
我不确定它们是否都是骗人的,但其中不少似乎是为了招揽咨询项目而进行的。 (但“八大会计师事务所”也是这么做的,而且他们通常卖给你的是一份预付费报告,他们会稍作修改并向你收取 2 万美元的费用。)
感谢您的反馈。我不确定这是否确实是一个问题。
想象一下,在一个基于最著名的开源项目之一构建的网站上,以警告某人其源代码已泄露为由,来寻找咨询项目 
是的,但每次发生这种情况时,我都会收到执行董事的电子邮件,询问这是否是需要担心的事情,尽管我已正式退休。