漏洞报告 #304073 - browser.blockstack.org 全名字段字符串大小限制缺失

漏洞标题

在常规测试中，发现用户全名字段没有限制可输入的文本量。

安全影响

当文本大小足够大时，服务在非生产环境中出现短暂中断（非高可用性环境）。内部复现显示在生产环境中存在孤立性干扰但未导致服务中断。

缓解措施

请像对邮箱和用户名字段已实施的限制一样，对全名字段的用户输入进行限制。

如果需要更多信息，请随时询问。乐意提供帮助。

此致，drough

补充说明

ID 验证黑客 myskar 评论 - 2018 年 1 月 11 日 18:49 UTC 让我更正上面报告中的安全影响字段：

当文本大小足够大时，服务在生产环境中会导致短暂中断。这可能导致服务器内存损坏。

您应该将全名字段的大小限制在 40 到 75 个字符。

再次感谢。

开发团队回应

a-hiro 评论 - 2018 年 1 月 12 日 15:19 UTC 感谢关注此问题。我们认为这不是漏洞——错误仅发生在客户端，因为所有解析逻辑都在浏览器客户端执行。大的全名不会影响其他用户的服务正常运行时间。

进一步讨论

myskar 评论 - 2018 年 1 月 12 日 18:24 UTC 这确实在我们的非生产环境中导致了短暂中断...我不仅仅是为了报告漏洞而这样做。它可能导致服务器内存损坏...公司应该将全名字段大小限制在 40 到 75 个字符。:)

myskar 评论 - 2018 年 1 月 12 日 19:59 UTC@ablankstein 另外我想补充这个密钥链绕过，请看我的视频 POC：[附件：poc.mp4]

最终处理

a-hiro 评论 - 2018 年 1 月 12 日 20:01 UTC 再次说明——这些数据不会导致服务器损坏，因为这些信息保持在客户端，所以只有攻击者自己的实例会受到影响。

a-hiro 评论 - 2018 年 1 月日 21:55 UTC 您展示的视频确实是一个 bug，但我们不认为这是安全漏洞。此提示仅用于鼓励用户保护他们的密钥链——如果他们故意绕过此提示，可能导致他们丢失自己的密钥链，但这只是他们自愿的行为。

报告状态更新

• 报告被标记为"信息性"

• 无严重性评级

• 无赏金奖励

• 报告已于 2025 年 10 月 31 日公开披露更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享