-
Notifications
You must be signed in to change notification settings - Fork 181
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
点击md文本中的链接后被发送了一条消息, 这功能是否涉及注入攻击? #205
Comments
这个消息怎么发出来呀 |
同问 |
这似乎是一条消息中内嵌了一个markdown,但是还没看出来是怎么做到的…求高手qwq |
cy,有人会踢我 |
1 similar comment
cy,有人会踢我 |
我也是 |
QQBot那边传来的?qq频道的相关的信息可以转发到正常的聊天吗 |
屏幕截图 2024-05-01 175808](https://github.com/tencent-connect/bot-docs/assets/142669632/a7ff157b-a50a-4ab7-9b8b-3ce618418190) 更新:
这是说明QQ在测试makedown文本的功能吗? |
所以点击的时候会自动@发送人,是把发送人当作qqBot了 |
也许是某些QQ版本存在这种漏洞,我们可以测试一下是哪些QQ版本或者平台可以转发该消息,以便在有可能的情况下更好地复现问题。我的版本是安卓V 9.0.17.15190,无法转发相关内容 |
可以正常转发,并且客户端没有经过修改(9.0.50.16495)。第一个转发的可能是修改的客户端,但是后续是否能转发应该就是版本问题了。 |
手机端升级最新版本后可以转发 但是没有实际功能 |
安卓9.0.50版本可以转发且有实际功能;电脑qqnt,ios低版本无法转发;ios高版本9.0.50转发没有实际功能 |
正常用户也可以转发。但是奇怪的是有人发出来的有效的转发后就无效了,有的人发出来的转发后还有效。 |
我问了朋友让他们试了下,好像同样是安卓9.0.50也有人转发不了🤨;还有人用macbook点击会显示“该机器人不在群聊中”,但他点击另外一个同样的消息就可以正常发送 |
一个有意思的bug,有人复现了吗 |
鸿蒙转发有效 |
我今天也碰到了,很好奇原理一路找到了这里,消息也无法转发,求问大神具体细节 |
|
这是操作要求,有谁尝试一下吗 |
客户端版本:8.9.93(正式版发布前的内测版,未升级) |
然而我不行,长按无转发按钮,多选后转发提示暂不支持转发/收藏机器人消息 |
QQNT PC 9.9.7-21804可以通过多选转发该消息 |
pc QQNT 9.9.9-22961,无法转发消息 |
且复制不能获得消息(奇怪的是昨天还可以 |
今天又遇到了,可以转发了,并且复制之后只能得到文本,无法得到原始消息内容了。 |
今天有一个新的指令: 当前版本: 在这个版本中,文本呈现出蓝色超链接的样式,点击后会自动发送一些不雅文本 上面也有人说了,这大概是内嵌Markdown实现的,应该是类似超链接的东西,不涉及到注入攻击,利用了qq机器人的功能 但本人不才,不知道指令具体是什么意思 把英文翻译一下,大概是内嵌控制台,再自动按下回车 在qq bot官方文档中,qq给出的指令是这样的: 希望大家多多提防,也希望qq官方加强对qq机器人使用规范的审查 |
这里贴上qq文档原文: 嵌入文本使用格式:
客户端解析为:/回车指令 用户可点击的标签
当然,如果你选择引用这个超链接,便会"原形毕露",其指令就会显示出来 |
能录个视频吗 |
Screenrecording_20240505_163920.mp4 |
看起来像是用文本伪装的(?) |
确实是文本 |
阿哲 |
又没说修了…… |
你火了 |
啊?我火了?我这几天都没看,发生什么事了?
心如止水波澜不惊
…---原始邮件---
发件人: ***@***.***>
发送时间: 2024年5月5日(周日) 晚上8:27
收件人: ***@***.***>;
抄送: ***@***.******@***.***>;
主题: Re: [tencent-connect/bot-docs] 点击md文本中的链接后被发送了一条消息, 这功能是否涉及注入攻击? (Issue #205)
你火了
—
Reply to this email directly, view it on GitHub, or unsubscribe.
You are receiving this because you commented.Message ID: ***@***.***>
|
早就火了,不过那时候的帅比没有附github地址导致大家都以为真的会盗号…… |
我一会儿回去康康,我这在外面,还没有看聊天记录呢
心如止水波澜不惊
…---原始邮件---
发件人: ***@***.***>
发送时间: 2024年5月5日(周日) 晚上8:28
收件人: ***@***.***>;
抄送: ***@***.******@***.***>;
主题: Re: [tencent-connect/bot-docs] 点击md文本中的链接后被发送了一条消息, 这功能是否涉及注入攻击? (Issue #205)
你火了
早就火了,不过那时候的帅比没有附github地址导致大家都以为真的会盗号……
—
Reply to this email directly, view it on GitHub, or unsubscribe.
You are receiving this because you commented.Message ID: ***@***.***>
|
五一小红人 |
@jitkio 请注意这是github issue不是单发……所有回复过的人都会收到 |
额😓,对不起>人<
心如止水波澜不惊
…---原始邮件---
发件人: ***@***.***>
发送时间: 2024年5月5日(周日) 晚上8:31
收件人: ***@***.***>;
抄送: ***@***.******@***.***>;
主题: Re: [tencent-connect/bot-docs] 点击md文本中的链接后被发送了一条消息, 这功能是否涉及注入攻击? (Issue #205)
我一会儿回去康康,我这在外面,还没有看聊天记录呢 心如止水波澜不惊
@jitkio 请注意这是github issue不是单发……所有回复过的人都会收到
—
Reply to this email directly, view it on GitHub, or unsubscribe.
You are receiving this because you were mentioned.Message ID: ***@***.***>
|
转发已经修了,md目前还没封 |
被发了小男娘打卡 |
修复了吗 |
看来还在慢慢修啊 |
现在有人已经连续被盗了两次账号了 |
@WWLWKX 我看了一个,通过这个盗号的是放了个恶意链接,等于说人家发了个【送你7天超级会员】然后你傻乎乎的点进去了。盗号和md本身没有直接关系,因为不会向外部发送你的那些信息,而是间接让你进入了恶意网站,导致的盗号 |
这东西就算能执行恶意操作也肯定不包括盗号,盗号八成是号主自己有问题 |
...要不?你还是不要来丢人了...真的不是说你们啥,什么谣都敢造 |
盗号的没听说几个,不过被封号的已经好多啦😄 |
如果因为这个bug导致MD一刀切,估计大部分开发上架的机器人都无法运作了.... |
markdown消息,
markdown消息的回车指令 |
这 issues 在 Recent activity 中看着碍眼, 关了. 自从使用了QQ收入就如同跌入了魔窟, 花费的时间太多得到的回报太少, 基于此, 我同时也将停止使用QQ |
哈哈哈 |
这是来自QQ邮箱的假期自动回复邮件。你好,我最近正在休假中,无法亲自回复你的邮件。我将在假期结束后,尽快给你回复。
|
今天碰到一条消息, 点击里面的按钮后会向发送一条
我是男娘
的消息, 这按钮在用户不知情的情况下进行了操作, 感觉是个大漏洞官方修了就会close的,官方没关就是还没修或者没看GitHub,官方不看GitHub那关不关也就无所谓了
这 issues 在 Recent activity 中看着碍眼, 关了.
早该有官方人员回复的, 但直到现在都没有, 我不知道这是什么原因但这足以让我对QQ开发组感到心灰意冷, 这效率未免太过于低下了
自从使用了QQ收入就如同跌入了魔窟, 花费的时间太多得到的回报太少, 基于此, 我同时也将停止使用QQ
The text was updated successfully, but these errors were encountered: