有关T00ls出现XSS的说明以及全面征集Markdown解析导致XSS漏洞的悬赏

Posted 2021-04-29 T00ls

        作为业内第一家使用Markdown的网站，T00ls是承受着比较大的压力以及冒着极大风险的。第一个吃螃蟹的人，自然知道蟹鳌的恐怖。但是我觉得这些都不能动摇和改变我们支持Markdown的决心。



        T00ls的Markdown解析也是使用的开源解析代码，不可避免的会存在各种各样的问题，所以可以说出现XSS再正常不过了，所以T00ls推出Markdown的时候我就在公告里说希望大家帮忙测试漏洞。在这几十天里，已经修复了好几个XSS了，都是会员私下给我说的，我们也是第一时间响应。

        对于https://www.t00ls.net/thread-40676-1-1.html帖子作者，我想说几句，首先主动报告漏洞我表示感谢，但是用漏洞来打广告个人觉得不合适，也违背T00ls的规则。再者靠这个宣传的话我觉得也没啥意义吧，在我个人看来，XSS漏洞以及使用CSRF来进行利用真的没有啥技术含量，对于漏洞花点时间总能发现，而利用10年前大家都玩烂了吧。不过我们对出现的漏洞不管多大肯定都会非常认真的重视，并第一时间作出响应。

        因此，与其有可能一个小漏洞会掀起波澜，还不如我们主动征集并悬赏。

        T00ls使用的Markdown开源解析代码见：

https://github.com/erusev/parsedown

        大家可以本地测试，如果发现XSS请及时mailto：admin@t00ls.net或者给我论坛留言或者直接微信我，一旦确认，一个漏洞奖励100TuBi。

        由于T00ls早就不支持图片外链，所以目前已经取消了Markdown解析图片的功能，所有图片请上传本地。

        我们以负责任的态度对待每一个可能出现的漏洞，感谢大家对T00ls的关心、支持与鼓励！