當前位置:
首頁 > 科技 > Branch.io漏洞將Tinder,Shopify,Yelp用戶暴露於XSS攻擊下

Branch.io漏洞將Tinder,Shopify,Yelp用戶暴露於XSS攻擊下

更多全球網路安全資訊盡在E安全官網www.easyaq.com

10月15日訊,Tinder,Shopify,Yelp等其他各平台使用的Branch.io服務存在漏洞,用戶或已受跨站點腳本(XSS)攻擊。

當vpnMentor研究人員發現Tinder域名:go.tinder.com,存在多個XSS漏洞,他們正在分析Tinder和其它各約會應用。

Branch.io漏洞將Tinder,Shopify,Yelp用戶暴露於XSS攻擊下

據vpnMentor稱,黑客本可以利用這些漏洞來盜取Tinder用戶的個人資料。不過,值得指出的是,利用XSS漏洞通常需要目標用戶點擊精心製作的惡意鏈接。

獲知漏洞信息後,Tinder安全團隊開展調查,發現「go.tinder.com」 域實為 「custom.bnc.lt」的別名,一個Branch.io資源。

Branch.io公司總部位於加利福尼亞,其方案為各公司創建推薦系統的深度鏈接,和用於溯源及分析目的的邀請、分享鏈接。

vpnMentor表示,受感染的Branch.io資源也被Yelp,Western Union, Shopify,RobinHood, Letgo, imgur, Lookout, fair.com及Cuvva等其他大公司所使用。

該VPN公司研究人員預計:這些漏洞影響用戶數已高達68500萬,這些用戶都使用了該受感染的服務。

雖漏洞已修復,也無證據顯示漏洞遭惡意利用,但預防起見,vpnMentor仍建議用戶更改密碼。

關於該漏洞,專家表示,由於Branch.io未能應用內容安全政策(CSP),基於DOM的XSS在許多瀏覽器本就易遭黑客利用。

vpnMentor在一篇博客文章中寫道,「在基於DOM的XSS這類攻擊中,攻擊載荷的執行導致在受害者瀏覽器DOM環境的修改,且更多的時候是在動態環境下。在基於DOM的XSS中,HTML源代碼與攻擊應答完全一致。也就是說,無法在攻擊應答中發現惡意載荷,這給那些內置了緩解XSS特性的瀏覽器像Chrome』sXSS Auditor的執行增加了許多難度。」

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 E安全 的精彩文章:

美國將向北約盟友提供「網路戰」技術
愛打遊戲也是一種出路!可以轉行搞安全

TAG:E安全 |