点击md文本中的链接后被发送了一条消息, 这功能是否涉及注入攻击? #205
Comments
|
这个消息怎么发出来呀 |
|
同问 |
|
这似乎是一条消息中内嵌了一个markdown,但是还没看出来是怎么做到的…求高手qwq |
|
cy,有人会踢我 |
1 similar comment
|
cy,有人会踢我 |
我也是 |
|
QQBot那边传来的?qq频道的相关的信息可以转发到正常的聊天吗 |
|
屏幕截图 2024-05-01 175808](https://github.com/tencent-connect/bot-docs/assets/142669632/a7ff157b-a50a-4ab7-9b8b-3ce618418190) 更新:
这是说明QQ在测试makedown文本的功能吗? |
|
所以点击的时候会自动@发送人,是把发送人当作qqBot了 |
也许是某些QQ版本存在这种漏洞,我们可以测试一下是哪些QQ版本或者平台可以转发该消息,以便在有可能的情况下更好地复现问题。我的版本是安卓V 9.0.17.15190,无法转发相关内容 |
可以正常转发,并且客户端没有经过修改(9.0.50.16495)。第一个转发的可能是修改的客户端,但是后续是否能转发应该就是版本问题了。 |
|
手机端升级最新版本后可以转发 但是没有实际功能 |
|
安卓9.0.50版本可以转发且有实际功能;电脑qqnt,ios低版本无法转发;ios高版本9.0.50转发没有实际功能 |
|
正常用户也可以转发。但是奇怪的是有人发出来的有效的转发后就无效了,有的人发出来的转发后还有效。 |
我问了朋友让他们试了下,好像同样是安卓9.0.50也有人转发不了🤨;还有人用macbook点击会显示“该机器人不在群聊中”,但他点击另外一个同样的消息就可以正常发送 |
|
一个有意思的bug,有人复现了吗 |
|
鸿蒙转发有效 |
|
我今天也碰到了,很好奇原理一路找到了这里,消息也无法转发,求问大神具体细节 |
|
|
这是操作要求,有谁尝试一下吗 |
|
看样子注入攻击是做不到的 但确实能诱导用户发送一段消息 |
|
客户端版本:8.9.93(正式版发布前的内测版,未升级) |
然而我不行,长按无转发按钮,多选后转发提示暂不支持转发/收藏机器人消息 |
|
QQNT PC 9.9.7-21804可以通过多选转发该消息 |
|
pc QQNT 9.9.9-22961,无法转发消息 |
|
且复制不能获得消息(奇怪的是昨天还可以 |
|
今天又遇到了,可以转发了,并且复制之后只能得到文本,无法得到原始消息内容了。 |
|
今天有一个新的指令: 当前版本: 在这个版本中,文本呈现出蓝色超链接的样式,点击后会自动发送一些不雅文本 上面也有人说了,这大概是内嵌Markdown实现的,应该是类似超链接的东西,不涉及到注入攻击,利用了qq机器人的功能 但本人不才,不知道指令具体是什么意思 把英文翻译一下,大概是内嵌控制台,再自动按下回车 在qq bot官方文档中,qq给出的指令是这样的: 希望大家多多提防,也希望qq官方加强对qq机器人使用规范的审查 |
|
这里贴上qq文档原文: 嵌入文本使用格式:
客户端解析为:/回车指令 用户可点击的标签
当然,如果你选择引用这个超链接,便会"原形毕露",其指令就会显示出来 |
|
一个新的指令又出来了,看上去肯定是有方法的,以下是特征: 问题在于:最初的那个(这是一个按钮)我转发后仍然无效,而这个可以转发后正常使用了 |
能录个视频吗 |
Screenrecording_20240505_163920.mp4 |
看起来像是用文本伪装的(?) |
确实是文本 |
阿哲 |
又没说修了…… |
|
你火了 |
|
啊?我火了?我这几天都没看,发生什么事了?
心如止水波澜不惊
…---原始邮件---
发件人: ***@***.***>
发送时间: 2024年5月5日(周日) 晚上8:27
收件人: ***@***.***>;
抄送: ***@***.******@***.***>;
主题: Re: [tencent-connect/bot-docs] 点击md文本中的链接后被发送了一条消息, 这功能是否涉及注入攻击? (Issue #205)
你火了
—
Reply to this email directly, view it on GitHub, or unsubscribe.
You are receiving this because you commented.Message ID: ***@***.***>
|
早就火了,不过那时候的帅比没有附github地址导致大家都以为真的会盗号…… |
|
我一会儿回去康康,我这在外面,还没有看聊天记录呢
心如止水波澜不惊
…---原始邮件---
发件人: ***@***.***>
发送时间: 2024年5月5日(周日) 晚上8:28
收件人: ***@***.***>;
抄送: ***@***.******@***.***>;
主题: Re: [tencent-connect/bot-docs] 点击md文本中的链接后被发送了一条消息, 这功能是否涉及注入攻击? (Issue #205)
你火了
早就火了,不过那时候的帅比没有附github地址导致大家都以为真的会盗号……
—
Reply to this email directly, view it on GitHub, or unsubscribe.
You are receiving this because you commented.Message ID: ***@***.***>
|
五一小红人 |
@jitkio 请注意这是github issue不是单发……所有回复过的人都会收到 |
|
额😓,对不起>人<
心如止水波澜不惊
…---原始邮件---
发件人: ***@***.***>
发送时间: 2024年5月5日(周日) 晚上8:31
收件人: ***@***.***>;
抄送: ***@***.******@***.***>;
主题: Re: [tencent-connect/bot-docs] 点击md文本中的链接后被发送了一条消息, 这功能是否涉及注入攻击? (Issue #205)
我一会儿回去康康,我这在外面,还没有看聊天记录呢 心如止水波澜不惊
@jitkio 请注意这是github issue不是单发……所有回复过的人都会收到
—
Reply to this email directly, view it on GitHub, or unsubscribe.
You are receiving this because you were mentioned.Message ID: ***@***.***>
|
转发已经修了,md目前还没封 |
|
被发了小男娘打卡 |
|
|
|
修复了吗 |
|
看来还在慢慢修啊 |
|
现在有人已经连续被盗了两次账号了 |
@WWLWKX 我看了一个,通过这个盗号的是放了个恶意链接,等于说人家发了个【送你7天超级会员】然后你傻乎乎的点进去了。盗号和md本身没有直接关系,因为不会向外部发送你的那些信息,而是间接让你进入了恶意网站,导致的盗号 |
这东西就算能执行恶意操作也肯定不包括盗号,盗号八成是号主自己有问题 |
...要不?你还是不要来丢人了...真的不是说你们啥,什么谣都敢造 |
盗号的没听说几个,不过被封号的已经好多啦😄 |
|
如果因为这个bug导致MD一刀切,估计大部分开发上架的机器人都无法运作了.... |
|
markdown消息,
markdown消息的回车指令 |
|
这 issues 在 Recent activity 中看着碍眼, 关了. 自从使用了QQ收入就如同跌入了魔窟, 花费的时间太多得到的回报太少, 基于此, 我同时也将停止使用QQ |
|
哈哈哈 |
|
这是来自QQ邮箱的假期自动回复邮件。你好,我最近正在休假中,无法亲自回复你的邮件。我将在假期结束后,尽快给你回复。
|
and others
今天碰到一条消息, 点击里面的按钮后会向发送一条
我是男娘的消息, 这按钮在用户不知情的情况下进行了操作, 感觉是个大漏洞官方修了就会close的,官方没关就是还没修或者没看GitHub,官方不看GitHub那关不关也就无所谓了
这 issues 在 Recent activity 中看着碍眼, 关了.
早该有官方人员回复的, 但直到现在都没有, 我不知道这是什么原因但这足以让我对QQ开发组感到心灰意冷, 这效率未免太过于低下了
自从使用了QQ收入就如同跌入了魔窟, 花费的时间太多得到的回报太少, 基于此, 我同时也将停止使用QQ
The text was updated successfully, but these errors were encountered: