Kinh Nghiệm

Folo là gì? - 123win10

Benvip Club Game Bài Nổ Hũ Uy Tín

Lỗ hổng trong chức năng xác thực của Folo? Hãy cẩn trọng trước nguy cơ quyền sở hữu nguồn RSS bị đánh cắp một cách độc ác

HowieHz
2025-03-31
Khám phá công nghệ > Kỹ thuật an ninh > Phân tích lỗ hổng

🌍 Tiếng Việt
294

Folo (trước đây được gọi là Follow) là một phần mềm đăng ký luồng thông tin đa nền tảng (bao gồm cả RSS), kết hợp các tính năng của Web3 (mã thông báo sử dụng trong ứng dụng này có tên là $POWER, Bitcoin cũng là một dạng mã thông báo). Trong phần mềm này, bạn có thể thưởng $POWER cho một nguồn RSS đã đăng ký. Nếu ai đó đã xác thực nguồn này, họ sẽ nhận được phần thưởng $POWER mà bạn trao tặng. Số tiền thu được từ việc thưởng có thể rút ra ngoài.

Liệu $POWER có giá trị không?

Theo tỷ giá tại thời điểm viết bài (2025-3-31 20:16 GMT+8):

  • 1 $POWER = 0.05018555464897344 $RSS3
  • 1 $RSS3 = 0.049823 USD
  • 1 USD = 7.2533 VNĐ

Từ đó, ta có thể suy ra rằng 1 $POWER ≈ 0.0181 VNĐ. Một số người dùng đã thử nghiệm bằng cách thưởng cho tài khoản phụ của chính họ và phát hiện rằng “16 $POWER sau khi rút tiền tương đương khoảng 0.3 VNĐ”. Tính toán theo tỷ giá trên, 16 $POWER ≈ 0.290 VNĐ.

Làm thế nào để xác thực nguồn RSS?

Có ba cách để xác thực nguồn RSS:

  1. Cách đầu tiên là xuất nội dung, như hình dưới đây: folo-authentication-ownership-theft-warning-1.png
  2. Cách thứ hai là thêm nội dung chỉ định vào trường <description /> của nguồn RSS cần xác thực.
  3. Cách thứ ba là thêm thẻ RSS.

Những kẻ xấu có thể dễ dàng lợi dụng cách thứ nhất để xác thực các nguồn tổng hợp bài viết hoặc nguồn dữ liệu từ diễn đàn, qua đó chiếm đoạt $POWER được thưởng từ người dùng khác. Sau khi xác thực, không có cách nào để xác thực lại hoặc chuyển giao quyền xác thực của nguồn đó. Ngoài ra, hiện chưa tìm thấy tài liệu hướng dẫn cụ thể về cách xử lý vấn đề này (nếu bạn biết cách, vui lòng chia sẻ trong phần bình luận).

Chúng ta có thể làm gì?

  1. Người dùng Folo: Báo cáo qua nhiều kênh tới đội ngũ Folo để yêu cầu vô hiệu hóa phương pháp xác thực đầu tiên.
  2. Người dùng Folo: Không nên thưởng cho những nguồn chưa được xác thực, đồng thời kiểm tra kỹ càng xem người xác thực có phải là chủ sở hữu thực sự hay không trước khi thưởng.
  3. Quản trị viên nguồn: Nên xác thực nguồn của mình sớm nhất có thể để tránh bị người khác xác thực trước.
  4. Quản trị viên nguồn: Kiểm tra nội dung để đảm bảo không có bất kỳ thông điệp kiểu như “Thông điệp này được sử dụng để xác minh rằng nguồn feed này (feedId:00000000000000000) thuộc về tôi (userId:00000000000000000). Tham gia cùng tôi trong việc tận hưởng trình duyệt thông tin thế hệ tiếp theo.”
  5. Người đọc: Nhắc nhở quản trị viên nguồn xác thực nguồn của họ sớm nhất có thể.
  6. Giải pháp cuối cùng: Bỏ qua vấn đề này nếu cảm thấy nó không đáng lo ngại.

Bài trước: Sống trọn vẹn từng khoảnh khắc
Bài kế tiếp: Thực hiện chức năng chuyển hướng bài viết ngẫu nhiên trong Halo CMS

  • Trang chủ
  • Lưu trữ
  • Nhật ký
  • Liên kết bạn bè
  • Về tôi
  • Tìm kiếm

Menu ;)
Mục lục ;)
Chia sẻ ;)

Số lượng người đọc: 32,911
Tổng bài viết: 90

Giao diện là higan-hz, vận hành bởi Halo Pro © 2025 Trang cá nhân của HowieHz

Lưu ý quan trọng

Trang web này đã hoạt động được 1 năm 131 ngày 20 giờ 08 phút 38 giây. Dịch vụ tốc độ được hỗ trợ bởi Đa Cát Vân, Lại Chụp Vân và WAF.SB.

© 2025 Bảo Ngọc
Built with Hugo
Theme Stack thiết kế bởi Jimmy