E aí. Não tenho nenhuma dúvida que precise ser esclarecida. E deixa eu te dar um · Silva97

Respondendo a "Salve, amigo! Tirei o post do ar por alguns mot..." dentro da publicação

E aí. Não tenho nenhuma dúvida que precise ser esclarecida. E deixa eu te dar uma dica também:

O uso do GitHub (e outras plataformas semelhantes) por malwares não é nenhuma novidade e isso existe há muitos anos. Para citar um exemplo, essa matéria é de 2022: https://www.computerweekly.com/news/252528192/Iranian-APT-seen-exploiting-GitHub-repository-as-C2-mechanism.

E como eu já disse 3 meses atrás:

Não tem nada de errado nisso se é o que eles queriam. Se fosse não proposital, se eles quisessem limitar o upload, aí você estaria certo que seria um bug (mas não uma vulnerabilidade).

E sobre a questão do XSS que você alegou ter achado, permanece. Não queria falar isso por ser ofensivo, mas o "XSS em bucket" é até um meme em algumas comunidades.

gpz

7 meses atrás

A questão do XSS é a seguinte:

Com o XSS é possível redirecionar o alvo para um link malicioso
O XSS no bucket é apenas o meio do caminho para um phishing. Eu conheço a piada do XSS em bucket. Agora imagine, um atacante se utiliza de um link com credibilidade como o github da microsoft e redireciona para uma página de login falsa. Com isso a taxa de sucesso é mais alta, não concorda? Talvez os termos que acabei utilizando foram equivocados.

Outro ponto interessante, e caso isso acontecesse com você? Caso alguém mal intencionado acabasse hospedando diversos arquivos nos readmes pelo seu projeto, isso não incomodaria você? Isso não compromete a autenticidade e confiabilidade do seu repositório? As pessoas agora pensariam duas vezes ao clicar em qualquer link que tenha seu nome.

https://github.com/GabrielPrzybysz/gabeblog/assets/45472156/18759db0-2925-4658-9619-b59ed4be9a35

Silva97

Autor

7 meses atrás

Sobre essa questão do phishing eu já respondi também, cara. Tá no meu comentário original falando disso.