一家安全公司称,流行的在线会议服务和活动网站Meetup中的安全漏洞可能使网络攻击者能够访问数百万成员的个人资料。
安全公司Chechmarx的研究人员发现,可以结合使用站点上的跨站点脚本(XSS)和跨站点请求伪造(CSRF)漏洞来获取管理员特权,从而使他们能够执行各种烦人的操作,例如取消或更改事件,欺诈行为包括查看有关用户的信息或重定向PayPal付款。
研究人员发现,可以将恶意脚本注入到Meetup页面的“讨论”部分中的帖子中-默认情况下,每个事件都启用该功能。
但是,该脚本将对用户隐藏,但可以使攻击者将其与CSRF攻击结合使用,从而使攻击者可以执行未经授权的命令,并利用它们来控制组。
当您拥有这两个漏洞时,这基本上是黑客的圣杯。因为如果组织者页面在浏览器中运行脚本,这意味着什么,我们实际上可以利用其管理员角色来做我们想做的一切。
在单个MeetUp小组级别上,攻击者可以利用它来控制页面,查看个人信息并重定向财务,这对于受害者来说是一件令人沮丧的事情,但这并不是一个巨大的网络安全事件。
但是,研究人员还发现可以用蠕虫传播此漏洞,如果在野外释放蠕虫,整个站点可能会受到攻击者控制组织并挪用资金的损害。
即使我只是从几个小组开始,他们中的每个人都成为传播蠕虫的媒介。当组织者被感染时,他们可以将资金转移到我们自己的恶意PayPal中。在一两天内,我们可能会感染每个Meetup组,这将是对该平台的大规模攻击。
在发现这些漏洞后,向Meetup披露了这些漏洞,Meetup于今年早些时候发布了修复此问题的安全补丁。Meetup非常重视有关其数据安全性的报告,并赞赏Checkmarx将这些问题提请我们注意进行调查和跟进的工作。
导致该漏洞的原因是能够将脚本添加到讨论页面,如果使用允许列表,则可以避免此问题。通过指定页面可接受哪些命令,这意味着无法输入奇怪的代码或命令。
使用此方法比拒绝列表更可取,因为允许列表要求列出所有可能的解决方法,并且攻击者将始终试图寻找开发人员可能不会想到的新方法。
Yalon说:当您使用拒绝列表时,希望您能想到攻击者可以使用您的系统的所有方式,我可以向您保证,每个攻击者都会找到您认为攻击者无法做到的事情。确保在过滤输入时使用允许列表。
