当前位置:首页 > 母婴育儿 > 威尼斯博彩可以玩吗_Branch.io漏洞将Tinder,Shopify,Yelp用户暴露于XSS攻击下

威尼斯博彩可以玩吗_Branch.io漏洞将Tinder,Shopify,Yelp用户暴露于XSS攻击下

2020-01-11 10:02:54

威尼斯博彩可以玩吗_Branch.io漏洞将Tinder,Shopify,Yelp用户暴露于XSS攻击下

威尼斯博彩可以玩吗,更多全球网络安全资讯尽在e安全官网www.easyaq.com

10月15日讯,tinder,shopify,yelp等其他各平台使用的branch.io服务存在漏洞,用户或已受跨站点脚本(xss)攻击。

当vpnmentor研究人员发现tinder域名:go.tinder.com,存在多个xss漏洞,他们正在分析tinder和其它各约会应用。

据vpnmentor称,黑客本可以利用这些漏洞来盗取tinder用户的个人资料。不过,值得指出的是,利用xss漏洞通常需要目标用户点击精心制作的恶意链接。

获知漏洞信息后,tinder安全团队开展调查,发现“go.tinder.com” 域实为 “custom.bnc.lt”的别名,一个branch.io资源。

branch.io公司总部位于加利福尼亚,其方案为各公司创建推荐系统的深度链接,和用于溯源及分析目的的邀请、分享链接。

vpnmentor表示,受感染的branch.io资源也被yelp,western union, shopify,robinhood, letgo, imgur, lookout, fair.com及cuvva等其他大公司所使用。

该vpn公司研究人员预计:这些漏洞影响用户数已高达68500万,这些用户都使用了该受感染的服务。

虽漏洞已修复,也无证据显示漏洞遭恶意利用,但预防起见,vpnmentor仍建议用户更改密码。

关于该漏洞,专家表示,由于branch.io未能应用内容安全政策(csp),基于dom的xss在许多浏览器本就易遭黑客利用。

vpnmentor在一篇博客文章中写道,“在基于dom的xss这类攻击中,攻击载荷的执行导致在受害者浏览器dom环境的修改,且更多的时候是在动态环境下。在基于dom的xss中,html源代码与攻击应答完全一致。也就是说,无法在攻击应答中发现恶意载荷,这给那些内置了缓解xss特性的浏览器像chrome’sxss auditor的执行增加了许多难度。”



上一篇:一场灾难改造了他:举牌男孩从军报恩,地震未哭过的他怎么哭了
下一篇:汽车行业难有系统性机会
© Copyright 2018-2019 salessizzle.com 马渡资讯 Inc. All Rights Reserved.