Koo 是印度本土的 Twitter 克隆,最近修补了一个严重的安全漏洞,该漏洞可能被利用来对其数十万用户执行任意 JavaScript 代码,从而在整个平台上传播攻击。
该漏洞涉及Koo 的 Web 应用程序中存储的跨站点脚本缺陷(也称为持久性 XSS),该漏洞允许将恶意脚本直接嵌入到受影响的 Web 应用程序中。
为了实施攻击,恶意行为者所要做的就是通过 Web 应用程序登录服务并将 XSS 编码的有效负载发布到其时间轴,该负载会自动代表所有看到该帖子的用户执行。
该问题是由安全研究员Rahul Kankrale在 7 月发现的,随后 Koo 于 7 月 3 日推出了修复程序。
使用跨站点脚本,攻击者可以代表与用户具有相同权限的用户执行操作并窃取 Web 浏览器的机密,例如身份验证 cookie。
由于恶意 JavaScript 可以访问网站可以访问的所有对象,因此它可能允许攻击者潜入敏感数据(例如私人消息)、传播错误信息或使用用户个人资料显示垃圾邮件。
Koo 中的此漏洞(也称为 XSS 蠕虫)的最终结果更令人担忧,因为它会自动在网站访问者之间传播恶意代码以感染其他用户 – 无需任何用户交互,例如连锁反应。
Koo 于 2019 年 11 月推出,自称是 Twitter 的印度替代品,并在其平台上拥有 600 万活跃用户。在尼日利亚无限期禁止推特删除尼日利亚总统穆罕默杜·布哈里 (Muhammadu Buhari) 的推文后,这家总部位于班加罗尔的公司也成为尼日利亚首选的社交媒体服务。
Koo 的联合创始人兼首席执行官 Aprameya Radhakrishna 本周早些时候宣布该应用程序进入尼日利亚市场。
还修补了一个与主题标签功能相关的反射 XSS漏洞,从而允许攻击者在用于搜索特定主题标签的端点中传递恶意 JavaScript 代码。
此次修复是在今年 2 月初修补的 Koo 应用程序中的另一个严重漏洞之后进行的,该漏洞可能允许攻击者访问平台上的任何用户帐户,而无需密码或用户交互。
它是由独立安全研究员Prasoon Gupta发现的。在接受 The Hacker News 采访时,Prasoon 解释说,当用户通过电话号码和一次性密码 (OTP) 进行身份验证时,该应用程序验证访问令牌的方式会导致漏洞出现。
在微软的 Edge 浏览器中发现了类似的XSS 相关漏洞之后一个多月,该漏洞可以被利用来触发攻击,只需在 YouTube 视频中添加评论或从包含非- 带有 XSS 负载的英语语言内容。
极牛网精选文章《印度版Twitter产品Koo爆出严重安全漏洞,易受蠕虫攻击》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/15778.html