专门关注软件安全漏洞的Checkmarx在本周披露,线上社团与活动平台Meetup含有两个安全漏洞,成功的攻击将允许黑客接管活动,还可直接将金流跳转至黑客的账号。
Checkmarx先是在Meetup上找到跨网站脚本(Cross-site scripting,XSS)攻击漏洞,允许黑客将脚本程序发布到讨论区中,当用户以浏览器访问该页面时,只会执行该程序,却看不到程序代码。
之后Checkmarx又在Meetup上发现另一个跨站请求伪造(Cross-site Request Forgery,CSRF)漏洞,且若串联上述的XSS漏洞及CSRF漏洞,即可扩张黑客的权限,让黑客成为某个活动的协办单位(Co-Organizer)。
研究人员说明,当黑客把恶意的脚本程序注入社团的讨论区时,只要访问该页面的是主办单位,在执行恶意程序之余还可利用CSRF漏洞,把黑客的角色变更为协办单位,而让黑客得以访问社团的所有功能,包括设置、创建活动、管理金钱或访问会员名单等。
在成功开采了这两个漏洞之后,研究人员再利用一个脚本程序变更了连接主办单位PayPal账号的电子邮件地址,这意味着未来该社团因举办各种活动所收取的款项,都会流落到黑客所指定的账号中,而且因为电子邮件已被变更,主办单位也不会收到任何的邮件通知。
总而言之,串联上述两个漏洞将让黑客接管任何的Meetup社团,访问社团的功能与资产,还能将所有的款项跳转至任何的PayPal账号中。Checkmarx是在去年底发现了相关漏洞并知会Meetup,而Meetup则是在今年7月中完全修复它们。
转载请超链接注明:头条资讯 » Meetup安全漏洞可让黑客接管社团以及金流
免责声明 :非本网注明原创的信息,皆为程序自动获取互联网,目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责;如此页面有侵犯到您的权益,请给站长发送邮件,并提供相关证明(版权证明、身份证正反面、侵权链接),站长将在收到邮件24小时内删除。