Koo 是印度本土版的 Twitter ,最近修補了一個嚴重的安全性漏洞,該漏洞可能被利用來對其數十萬用戶執行任意 JavaScript 代碼,從而在整個平臺上傳播攻擊。
該漏洞涉及Koo 的 Web 應用程式中存儲的跨網站腳本缺陷(也稱為持久性 XSS),該漏洞允許將惡意腳本直接嵌入到受影響的 Web 應用程式中。
為了實施攻擊,惡意行為者所要做的就是通過 Web 應用程式登錄該服務並將 XSS 編碼的有效負載發佈到其時間軸,該負載會自動代表所有看到該帖子的用戶執行。
Koo 中的此漏洞(也稱為 XSS 蠕蟲)的最終結果更令人擔憂,因為它會自動在網站訪問者之間傳播惡意程式碼以感染其他用戶 - 無需任何用戶交互,例如連鎖反應。該漏洞可能允許攻擊者訪問平臺上的任何使用者帳戶,而無需密碼或使用者交互。當使用者通過電話號碼和一次性密碼 (OTP) 進行身份驗證時,該應用程式驗證訪問權杖的方式會導致漏洞出現。
網路安全問題需多方面關注!
|
