БИЗНЕС-СЕТЬ KINETICS CRM CALL-ЦЕНТРЫ ERP ECM ITSM PM АБС SEC
       
IT БЕЗОПАСНОСТЬ НОВОСТИ АНАЛИТИКА СИСТЕМЫ ПОСТАВЩИКИ ФОРУМ Напишите нам!  
     Информационная безопасность — практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации.


ЛЕНТА НОВОСТЕЙ
СОБЫТИЯ И МЕРОПРИЯТИЯ
ВИДЕОНОВОСТИ
ИНТЕРВЬЮ
НОВОСТИ НА ФОРУМЕ
   
НОВОСТИ

25/11/2020

Два «детских» бага в TikTok позволяли красть аккаунты в один клик



В TikTok обезврежена опасная уязвимость, допускавшая захват чужого аккаунта «в один клик», сообщает Bleeping Computer. Уязвимость обнаружил проживающий в Германии эксперт по поиску багов Мухаммед Таскиран (Muhammed Taskiran). По его сведениям, TikTok был беззащитен перед атаками межсайтового скриптинга, а конкретнее неперсистентного XSS.

Такая уязвимость возникает, когда веб-приложение не производит проверку пользовательского ввода и немедленно исполняет его команды. Злоумышленник таким образом имеет возможность внедрить произвольный код на пользовательской стороне.

Таскиран обнаружил баги при fuzz-тестировании доменов tiktok.com и m.tiktok.com. Кроме того, он обнаружил еще один баг разновидности CSRF (межсайтовая подделка запросов), который позволял изменять пароли к аккаунтам пользователей, использующих сторонние приложения для входа в сервис.
Комбо-два

Комбинация из двух уязвимостей позволяла захватывать чужие аккаунты с минимальными усилиями. «Я скомбинировал обе уязвимости с помощью короткого вредоноса на JavaScript, который запускает CSRF-атаку, и внедрил его в уязвимый URL-параметр, тем самым добившись захвата аккаунта в один клик», — отметил исследователь.

Проинформировав TikTok о проблеме, Таскиран получил награду в размере $3860. Уязвимость была устранена еще в сентябре 2020 г.


<<< Назад


 
О портале Конфиденциальность Реклама на портале Карта сайта  
Copyright © 2010-2021 Secutity Online. All rights reserved.