内容简介:漏洞挖掘人员发现重大安全漏洞,影响Tinder、Yelp、Shopify、西联等主流网站,使用这些站点的数亿用户均受威胁。研究人员是在挖掘约会网站网页代码时发现的该可利用编程缺陷。在
漏洞挖掘人员发现重大安全漏洞,影响Tinder、Yelp、Shopify、西联等主流网站,使用这些站点的数亿用户均受威胁。
研究人员是在挖掘约会网站网页代码时发现的该可利用编程缺陷。在 Tinder.com 的子域名 go.tinder.com 上发现了跨站脚本漏洞后,研究人员向Tinder应用的开发商提交了漏洞报告。
后来发现,他们挖出的这个漏洞不仅仅是约会网站某个子域名的问题。安全公司VPNMentor的研究团队称,该现已修复的安全漏洞曾令多达 6.85亿 网民暴露在跨站脚本攻击(XSS)风险之下,黑客可通过该漏洞盗取数据和劫持账户。登录了受影响服务的用户只要点击了恶意链接或打开了陷阱网页,就可能成为跨站脚本攻击的受害者。
受影响用户数高达9位数是因为该安全问题实际上存在于名为branch.io的 工具 集中。该工具集用于跟踪网站和App用户,确定他们的来路,比如是从Facebook、电子邮件链接、推特还是从别的什么应用点进来的。因为该漏洞埋藏在branch.io的代码中,嵌入到了无数服务和移动应用里,所以可能面临跨站脚本攻击的人数飙升至近 7亿 。
本周早些时候,发现该漏洞的 Ariel Hochstad 解释称:
我们一发现这些漏洞就立即通过负责任披露程序联系了Tinder,并与他们合作共同解决问题。我们了解到该脆弱终端并非Tinder所有,而是属于branch.io——全球很多大公司都会使用的溯源平台。
美国大型评论网站Yelp、电汇公司西联、Shopify和照片分享站点Imgur都在用该脆弱组件。Hochstadt估测受影响网站用户账户数在6.85亿左右。
漏洞本身是个极讨厌的文档对象模型(DOM)跨站脚本表单,能使攻击者透过跨站调用通过基本安全检查。
基于DOM的跨站脚本攻击中,HTML源代码和攻击的响应是一模一样的。也就是说,响应中是找不到恶意攻击载荷的,Chrome XSS Auditor 之类浏览器内置XSS缓解功能很难检测出来。
branch.io号称全球每月用户 超20亿 ,但其发言人对此事没有任何评论。
Hochstadt表示曾私下向branch.io报告过该问题,branch.io也有能力修复该漏洞,而目前尚未发现该漏洞被利用的案例。但用户仍应考虑修改口令,并密切注意自己的账户有没有什么可疑的行为。
跨站脚本漏洞报告地址:
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:- 万维网之父新使命:把互联网数据控制权归还给网民
- 从分析我抓取的60w知乎网民来学习如何在SSM项目中使用Echarts
- CNNIC互联网发展报告:中国网民达8.29亿,平均每周上网时间27.6小时
- 如何做好漏洞管理的漏洞修复工作
- 漏洞预警 | ThinkPHP5远程命令执行漏洞
- 漏洞预警 | MetInfo最新版本爆出SQL注入漏洞
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Machine Learning
Kevin Murphy / The MIT Press / 2012-9-18 / USD 90.00
Today's Web-enabled deluge of electronic data calls for automated methods of data analysis. Machine learning provides these, developing methods that can automatically detect patterns in data and then ......一起来看看 《Machine Learning》 这本书的介绍吧!