近期,开发组发现了有用户在个性签名中以不当手段获取其他用户登录 cookies 的 XSS 注入,由于 SYZOJ 对于前端的检测并未深入至 JavaScript 脚本,而是只停留于 Markdown 渲染,造成了有部分别有用心的用户使用不当手段获取他人登录 cookies 的行为,包括但不限于用户 wad(现已被封禁,若因正当原因需要解封账号,请联系 admin@algobeat.online 获取解封步骤)。
如今,开发组已经将所有用户的 cookies 重置,若您的帐户出现掉登录的现象,请重新登录,对此带来的不便请您谅解。
同时,开发组在站内发出严正声明:这是真实的安全事件,不是“是不是有点影响”的水平。
获取 cookies 行为本身已经违法(《网络安全法》第 27 条、《刑法》285 条非法获取计算机信息系统数据罪)。如果您原意是搞笑 / 测试,请在发现此 bug 后私信任一管理组成员明确告知其严重性,而不是隐瞒事实甚至继续保留字段测试其他不知情的用户。如果用户收集了 cookies 用于冒充某位站内用户,并造成了任何重大的负面影响,AlgoBeat 开发组保留追踪其 IP / IP 段并报警的权力。
再次声明,获取用户敏感信息并非儿戏,请尊重每一位平台上的用户。
共 2 条回复
我测了一下发现还没修好啊
qp