基於DOM的XSS漏洞使Vinder,Shopify,Western Union和Imgur的6.85億使用者面臨風險
來自VPNMentor的安全研究人員檢測到多個客戶端漏洞,允許黑客訪問使用者的個人資料和詳細資訊。
基於DOM的XSS也稱為0型XSS,此漏洞允許攻擊者製作惡意URL,如果其他使用者訪問了URL,則javascript將在使用者的瀏覽器中執行。
它允許攻擊者竊取受害者的會話令牌,登入憑據,執行任意操作以及捕獲鍵盤記錄。
ofollow,noindex">VPNMentor 通過其負責任的披露計劃向Tinder通報了漏洞。通過進一步分析,VPNMentor研究人員瞭解到存在漏洞端點並非由Tinder擁有,而是由branch.io擁有,該分支平臺是全球許多大公司使用的歸屬平臺。
他們還發現,Shopify,Yelp,Western Union和Imgur等許多大型網站都使用了相同的存在漏洞的端點,這使得6.85億使用者面臨風險。
基於DOM的XSS – 重定向策略和驗證繞過
研究人員最初發現的是端點https://go.tinder.com/amp-iframe-redirect,它出現了多個漏洞。顯示的指令碼redirect_strategy為“INJECTIONA”,同時也找到了scheme_redirect為“INJECTIONB”。
攻擊者可以將redirect_strategy修改為dom-XSS有效載荷,從而在使用者瀏覽器中使用Tinder的上下文執行客戶端程式碼。
此外,研究人員觀察到可以繞過驗證功能,因為indexOf會找到“https://”。
研究人員指出,受該漏洞影響的網站很少,如RobinHood,Shopify,Canva,Yelp,Western Union,Letgo,Cuvva,imgur,Lookout,fair.com等。
雖然該漏洞已得到修復,但如果最近使用過Tinder或任何其他受影響的網站,為確保帳戶安全,建議儘快更改密碼。