漏洞挖掘人员发现重大安全漏洞,影响Tinder、Yelp、Shopify、西联等主流网站,使用这些站点的数亿用户均受威胁。
研究人员是在挖掘约会网站网页代码时发现的该可利用编程缺陷。在 Tinder.com 的子域名 go.tinder.com 上发现了跨站脚本漏洞后,研究人员向Tinder应用的开发商提交了漏洞报告。
后来发现,他们挖出的这个漏洞不仅仅是约会网站某个子域名的问题。安全公司VPNMentor的研究团队称,该现已修复的安全漏洞曾令多达6.85亿网民暴露在跨站脚本攻击(XSS)风险之下,黑客可通过该漏洞盗取数据和劫持账户。登录了受影响服务的用户只要点击了恶意链接或打开了陷阱网页,就可能成为跨站脚本攻击的受害者。
受影响用户数高达9位数是因为该安全问题实际上存在于名为branch.io的工具集中。该工具集用于跟踪网站和App用户,确定他们的来路,比如是从Facebook、电子邮件链接、推特还是从别的什么应用点进来的。因为该漏洞埋藏在branch.io的代码中,嵌入到了无数服务和移动应用里,所以可能面临跨站脚本攻击的人数飙升至近7亿。
本周早些时候,发现该漏洞的 Ariel Hochstad 解释称:
我们一发现这些漏洞就立即通过负责任披露程序联系了Tinder,并与他们合作共同解决问题。我们了解到该脆弱终端并非Tinder所有,而是属于branch.io——全球很多大公司都会使用的溯源平台。
美国大型评论网站Yelp、电汇公司西联、Shopify和照片分享站点Imgur都在用该脆弱组件。Hochstadt估测受影响网站用户账户数在6.85亿左右。
漏洞本身是个极讨厌的文档对象模型(DOM)跨站脚本表单,能使攻击者透过跨站调用通过基本安全检查。
基于DOM的跨站脚本攻击中,HTML源代码和攻击的响应是一模一样的。也就是说,响应中是找不到恶意攻击载荷的,Chrome XSS Auditor 之类浏览器内置XSS缓解功能很难检测出来。
branch.io号称全球每月用户超20亿,但其发言人对此事没有任何评论。
Hochstadt表示曾私下向branch.io报告过该问题,branch.io也有能力修复该漏洞,而目前尚未发现该漏洞被利用的案例。但用户仍应考虑修改口令,并密切注意自己的账户有没有什么可疑的行为。
跨站脚本漏洞报告地址:
https://www.owasp.org/index.php/Cross_Site_Scripting_Flaw
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。