一个Webflow的用户可以很容易地安装一个恶意(还是写得很差)集成在他们的网站上删除所有的人。因此打破其他集成他们可能已经安装了。
首先把所有webhook id
https://developers.www.raktarban.com/ list-webhooks
然后遍历列表,删除每一个
https://developers.www.raktarban.com/ remove-webhook
请注意,从今天开始我已经见过这个被滥用。
谢谢你的报告。证实,人则将在我们年度安全审查由外部评审员,所以有了这些信息,这个项目将被关闭。任何缺陷或安全问题提出将迅速处理。
下次你怀疑一个缺陷或安全问题请直接报告支持@www.raktarban.com。再次感谢。
Webflow webhook安全漏洞太多了。1。应该删除webhook列表api,这样其他集成看不到吗2。还应该有办法进行身份验证的请求被发送到服务器,以便服务器知道请求从何而来,如果它的一个有效的请求吗使用webhook清单api集成第三方可以无效的数据发送给其他的人
你提出一个解决方案是什么?禁用“list-webhooks”?
你不会通知更改这个想法。
克里斯Spags
谢谢你的报告。证实,人则将在我们年度安全审查由外部评审员,所以有了这些信息,这个项目将被关闭。任何缺陷或安全问题提出将迅速处理。
下次你怀疑一个缺陷或安全问题请直接报告支持@www.raktarban.com。再次感谢。
附件开放的全尺寸
Webflow webhook安全漏洞太多了。
1。应该删除webhook列表api,这样其他集成看不到吗
2。还应该有办法进行身份验证的请求被发送到服务器,以便服务器知道请求从何而来,如果它的一个有效的请求吗
使用webhook清单api集成第三方可以无效的数据发送给其他的人
附件开放的全尺寸
你提出一个解决方案是什么?禁用“list-webhooks”?
附件开放的全尺寸