Blockstack浏览器Mac版核心API密码泄露漏洞分析

本文详细分析了Blockstack浏览器Mac版本存在的安全漏洞,该漏洞通过Referer头将核心API密码泄露给第三方网站,包括appco.imgix.net等,存在严重的信息泄露风险。

Blockstack浏览器Mac版泄露"核心API密码"给第三方

漏洞概述

Blockstack浏览器Mac版本存在安全漏洞,通过Referer头将CoreAPIPassword泄露给多个第三方网站。

受影响的网站

  • appco.imgix.net(第三方网站)
  • api.app.co(似乎与Blockstack有关联)
  • browser-api.blockstack.org

复现步骤

  1. 下载Blockstack for macOS v0.36.1.dmg
  2. 安装dmg文件
  3. 启动代理工具(如BurpSuite)
  4. 配置浏览器使用BurpSuite作为代理,并移除localhost/127.0.0.1代理例外
  5. 启动Blockstack应用,访问http://localhost:8888/sign-up
  6. 观察到出站连接泄露核心API密码

解决方案

  1. 在Blockstack浏览器中包含Referer-Policy头,防止密码泄露
  2. 建议不要在URL参数中传递敏感数据,因为完整URL通常以明文形式记录在负载均衡器日志中

影响

任何受影响的网站、负载均衡器日志或跟踪服务的泄露都会暴露Blockstack用户的核心API密码。

官方回应

Hiro团队表示核心API密码不再用于核心节点的可信认证,该字段仅作为遗留字段保留在浏览器设置对象中,因此将此报告标记为信息性而非安全问题。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次