專門關注軟件安全漏洞的Checkmarx在本週披露,線上社團與活動平臺Meetup含有兩個安全漏洞,成功的攻擊將允許黑客接管活動,還可直接將金流跳轉至黑客的賬號。
Checkmarx先是在Meetup上找到跨網站腳本(Cross-site scripting,XSS)攻擊漏洞,允許黑客將腳本程序發佈到討論區中,當用戶以瀏覽器訪問該頁面時,只會執行該程序,卻看不到程序代碼。
之後Checkmarx又在Meetup上發現另一個跨站請求偽造(Cross-site Request Forgery,CSRF)漏洞,且若串聯上述的XSS漏洞及CSRF漏洞,即可擴張黑客的權限,讓黑客成為某個活動的協辦單位(Co-Organizer)。
研究人員說明,當黑客把惡意的腳本程序注入社團的討論區時,只要訪問該頁面的是主辦單位,在執行惡意程序之餘還可利用CSRF漏洞,把黑客的角色變更為協辦單位,而讓黑客得以訪問社團的所有功能,包括設置、創建活動、管理金錢或訪問會員名單等。
在成功開採了這兩個漏洞之後,研究人員再利用一個腳本程序變更了連接主辦單位PayPal賬號的電子郵件地址,這意味著未來該社團因舉辦各種活動所收取的款項,都會流落到黑客所指定的賬號中,而且因為電子郵件已被變更,主辦單位也不會收到任何的郵件通知。
總而言之,串聯上述兩個漏洞將讓黑客接管任何的Meetup社團,訪問社團的功能與資產,還能將所有的款項跳轉至任何的PayPal賬號中。Checkmarx是在去年底發現了相關漏洞並知會Meetup,而Meetup則是在今年7月中完全修復它們。
轉載請超鏈接註明:頭條資訊 » Meetup安全漏洞可讓黑客接管社團以及金流
免責聲明
:非本網註明原創的信息,皆為程序自動獲取互聯網,目的在於傳遞更多信息,並不代表本網贊同其觀點和對其真實性負責;如此頁面有侵犯到您的權益,請給站長發送郵件,並提供相關證明(版權證明、身份證正反面、侵權鏈接),站長將在收到郵件24小時內刪除。