黑客新闻安全如果您发现安全漏洞,请通过[email protected]通知我们。我们尝试回应(通过修复!)。越快越好,真的很感谢你的帮助。
感谢以下人员发现并负责任地披露了黑客新闻中的安全漏洞:
20170430:Michael Flaxman,用于密码的bcrypt的次要版本,在某些情况下容易发生冲突。
20150907:SanDeep Singh可以通过传递带有混合大小写协议的url作为goto参数来实现开放重定向。
20150302:/r处理过程中泄露的最大绑定信息使得攻击者能够发现有效的配置文件编辑链接及其有效的用户。
20141101:Ovidiu Toader在极少数情况下,一些用户配置文件(包括电子邮件地址和密码散列)被错误地发布到Firebase API。
有关详细信息,请参阅https://news.ycombinator.com/item?id=8604586。
20141027:SAN TRAN某些显示表单的页面在提供格式错误的查询字符串参数时容易受到反射的XSS的攻击。
20090603:丹尼尔·福克斯·弗兰克(Daniel Fox Franke)用来生成Cookie的PRNG的状态可以从观察到的输出中确定出来。这使得攻击者能够相当容易地确定有效的用户Cookie并危害帐户。
有关详细信息,请参阅https://news.ycombinator.com/item?id=639976。
是否在此列表中缺失?如果您向我们报告了漏洞,但没有看到您的名字,请发送电子邮件给我们,我们会很乐意将您添加到列表中。我们翻阅了大量的电子邮件,试图找到所有的报告,但不可避免地遗漏了一些。