1月25日,LinusTorvalds在LinuxGitHub存储库中提交了一个恶作剧的README页面,注释名为《delete linux because it sucks》——我删除了Linux,因为它只是垃圾。翻译:大家好,我是linustorvalds,红极一时的linux的作者。您可以查看存储库的url和文件顶部的名称,以证明是我提交的。我删除了linux,因为我讨厌它,我认为它很糟糕。你应该选择这个很棒的操作系统,它叫做windowsxp,我刚刚发现它真的很酷。但是为什么说是恶作剧呢?由于Linux的源代码没有被删除,有细心的网友发现README底部有一个链接:这个链接指向HackerNews黑客论坛上的一篇帖子,详细介绍了现有的“虚假提交”漏洞GitHub的:可以在URLhttps://github.com/my/project下发布任意提交。例如使用URLhttps://github.com/my/project/blob//README.md发布一个假的README页面,该页面不会出现在项目的提交记录中,也不属于到任何分支,只能通过访问特定的URL才能看到。而Linus的恶作剧README文件正是利用了这个虚假提交漏洞。看一下这个README的URL:如果是正常提交??,URL应该有commit字样,例如:除了URL不公开外,提交中没有出现README文件备案上:它可见Linus只是开了个玩笑,并没有真的删库跑路。如果您对此漏洞感兴趣,可以前往HackerNews上的原帖。这个虚假提交漏洞与GitHub的另一个“通过git电子邮件地址冒充用户”漏洞相结合,可以创建一个虚假的钓鱼页面。比如:https://github.com/slimsag/linux/tree/5895e21f3c744ed9829e3afe9691e3eb1b1932ae#linux-kernel这个仓库,好像是Linus自己参与了这个仓库的建设:不过,这只是通过替换email地址漏洞,仅用Gottorvalds替换slimsag。左边是通过漏洞替换邮箱地址的torvalds,右边是正常的。仔细观察对比后可以发现,被??覆盖方式替换的torvalds不显示活动记录。这些GitHub漏洞都是在2020年公开的。然而,漏洞作者表示“GitHub根本不将这些问题视为漏洞”。不知道是GitHub不能处理,还是觉得没必要处理,反正到现在还是可以被利用的。好了,今天的趣事就分享到这里了,喜欢的朋友动动小手,点个关注再走。(づ ̄3 ̄)づ╭?~
