报告 #304073 - browser.blockstack.org 全名字符串大小限制缺失

时间线 ID认证 已完成ID验证检查的黑客。

myskar 向Hiro提交报告 2018年1月11日，下午6:48 UTC

漏洞标题： 在常规测试中，我发现用户全名字段没有限制可插入文本的数量。

安全影响： 当文本大小足够大时，服务在我们的非生产环境（非高可用性）中导致短暂中断。内部复现显示在生产环境中存在孤立中断但未导致服务完全中断。

缓解措施： 为缓解此问题，请像对邮箱和用户名字段已实施的限制一样，限制用户全名字段的输入长度。

如需更多信息，请随时询问。 乐意提供帮助。 此致， drough

影响 当文本大小足够大时，服务在我们的非生产环境（非高可用性）中导致短暂中断。内部复现显示在生产环境中存在孤立中断但未导致服务完全中断。

ID认证 myskar 发表评论 2018年1月11日，下午6:49 UTC

嗨 @team 让我更正上面报告中的安全影响字段。

安全影响 当文本大小足够大时，服务在生产环境中导致短暂中断。这可能导致服务器内存损坏。

您应该将全名字段的大小限制为40到75个字符。 再次感谢。 drough

a-hiro 发表评论 2018年1月12日，下午3:19 UTC

嗨 @drough 感谢您关注此事。我们不认为这是一个漏洞——该错误仅发生在客户端，因为所有解析逻辑都在浏览器客户端进行。大的全名不会影响其他用户的服务正常运行时间。

ID认证 myskar 发表评论 2018年1月12日，下午6:24 UTC

这导致我们的非生产环境出现短暂中断…我不仅仅是为了漏洞而做这个…它可能导致服务器内存损坏…公司应该将全名字段的大小限制为40到75个字符。:)

ID认证 myskar 发表评论 2018年1月12日，晚上7:59 UTC

嗨 @ablankstein 另外我想添加这个密钥链绕过，请看我的视频POC： drough 附件 1个附件 F253434: poc.mp4

a-hiro 发表评论 2018年1月12日，晚上8:01 UTC

再次说明——这些数据不会导致服务器损坏，因为这些信息保留在客户端，因此只有攻击者自己的实例会受到影响。

ID认证 myskar 发表评论 2018年1月12日，晚上8:04 UTC

@ablankstein 请看我的视频POC密钥链绕过 :)

a-hiro 发表评论 2018年1月12日，晚上9:55 UTC

嗨 @drough ——您展示的视频确实是一个错误，但是，我们不认为这是一个安全漏洞。此提示仅用于鼓励用户保护他们的密钥链——如果他们有意绕过此提示，可能导致他们丢失密钥链，但这只是他们自己的意愿。这可以在我们的blockstack-browser存储库中作为错误打开，但是，由于我们不认为这是一个安全漏洞，它不符合HackerOne问题的资格。

ID认证 myskar 发表评论 2018年1月12日，晚上10:01 UTC

你好 @ablankstein 我认为这符合资格，我阅读了一些公开披露的绕过案例…但在这种情况下，这将是密钥链中的绕过…呵呵…那么这个报告的状态将是什么？ drough

a-hiro 关闭报告并将状态更改为信息性 2018年1月12日，晚上10:05 UTC

我们将关闭此报告并将其标记为信息性，因为该报告产生了对我们有用的信息（用户体验错误），但没有直接的安全影响。密钥链并没有真正被绕过，只是用户备份密钥链的提醒可以被手动绕过（由该用户）。

ID认证 myskar 请求披露此报告 2018年1月12日，晚上10:08 UTC

好的谢谢你 @ablankstein :) 我们可以吗？

ID认证 myskar 发表评论 2018年1月12日，晚上10:09 UTC

等等抱歉不要接受我的请求谢谢你 @ablankstein

rafaelcr Hiro员工同意披露此报告 12天前

此报告已被披露 12天前

报告于 2018年1月11日，下午6:48 UTC 报告者 myskar 报告给 Hiro 参与者 报告ID #304073 信息性 严重性 无评级 (—) 披露时间 2025年10月31日，下午5:33 UTC 弱点 无 CVE ID 无 赏金 无 账户详情 无