文章总结： 本文分析了Stripe开源项目Veneur因文档链接失效域名veneur.org导致的安全隐患。攻击者可接管域名植入恶意代码或伪造登录页，实施供应链攻击或窃取凭证。虽主仓库已修复，但众多派生仓库仍存在风险，建议开发者检查并移除相关链接。 综合评分： 72 文章分类： 供应链安全,漏洞分析,SRC活动

利用github来薅钱

h1

迪哥讲事

2026年1月12日 09:25 四川

正文

这个漏洞感觉有点水，但是在国外能给你钱

github.com/stripe/veneur 仓库包含安全敏感的代码，通常被设计用于在公司内部私有网络中运行，经常作为每个应用服务器上的边车（sidecar）部署。 该仓库的 README 和文档中并未包含 Veneur 的安装说明，而是链接到一个外部域名 https://veneur.org，由该网站提供这些安装指引。 目前，https://veneur.org 域名似乎已不再受 Stripe 控制。

如果该网站不再由 Stripe 控制，则极易被用作钓鱼攻击或供应链污染攻击的载体。此类攻击的目标是 Veneur 开源版本的用户（并非特指 Stripe 本身）以及 Stripe 客户。

攻击示例一：

1.控制 https://veneur.org 域名（无论是作为当前所有者，还是通过购买该域名）。

2.重建原网站内容，但将安装说明修改为指向恶意源代码或包含恶意代码的 Docker 镜像。

3.Veneur 用户按照该指引进行安装。 后果： 攻击者控制的代码/镜像将在具有特权的环境中运行。

攻击示例二：

1.控制 https://veneur.org 域名。

2.将网站内容替换为伪造的 Stripe 登录页面。

3.Veneur 用户（很可能同时也是 Stripe 用户）在该伪造页面中输入其用户名和密码。 后果： 攻击者获得高权限凭据。由于 https://veneur.org 曾被官方、由 Stripe 控制的仓库所链接，此类攻击的成功概率远高于使用其他无关域名。

复现步骤：

1.访问 https://github.com/stripe/veneur

2.点击侧边栏中的 https://veneur.org 链接。

自从我最初在 GitHub 仓库中报告此问题（https://github.com/stripe/veneur/issues/1058）以来，该仓库的侧边栏链接已被移除。但目前仍有大量派生仓库（共 179 个）保留着指向该失控域名的链接。

如果你是一个长期主义者，欢迎加入我的知识星球，本星球日日更新,包含号主大量一线实战,全网独一无二，微信识别二维码付费即可加入，如不满意，72 小时内可在 App 内无条件自助退款

往期回顾

#

如何利用ai辅助挖漏洞

#

如何在移动端抓包-下

#

如何绕过签名校验

#

一款bp神器

挖掘有回显ssrf的隐藏payload

ssrf绕过新思路

一个辅助测试ssrf的工具

dom-xss精选文章

年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips‍

参考

https://hackerone.com/reports/2011298

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：迪哥讲事 h1《利用github来薅钱》