日韩中文人妻无码不卡一区,日韩欧洲中国视频在线,中文字幕精品亚洲一区,亚洲欧美另类激情综合区蜜芽

當前位置:聯升科技 > 技術資訊 > 應用安全 >

被指責存在“潛在的安全隱患”后,TikTok修復了賬戶劫持安全漏洞

2020-11-27    作者:我們會有自己的貓    來源:嘶吼網    閱讀:

前不久,TikTok被發現存在兩個安全漏洞,攻擊者將兩個漏洞結合后,如果是通過第三方應用程序注冊的賬戶,只需要單擊一下就可以輕松接管賬戶。
總部位于北京的字節跳動公司(ByteDance)旗下的社交媒體平臺一般被大家用于分享3到60秒簡短的手機循環視頻。
根據Google Play商店的官方統計,TikTok的Android應用程序當前安裝量已超過10億。根據Sensor Tower Store Intelligence的估計,到2020年4月,全網移動平臺的安裝量都將突破20億大關。
通過模糊測試的發現
德國漏洞賞金獵人Muhammed Taskiran在TikTok URL參數中發現了一個反射型跨站點腳本(XSS)安全漏洞,也稱為非持久XSS,該漏洞反映了未經適當消毒的值。
Taskiran發現反射型的XSS可能也導致數據泄露,同時對公司的www.tiktok.com和m.tiktok.com域進行了模糊測試。
他還發現TikTok的一個API端點易受跨站點請求偽造(CSRF)的攻擊,該攻擊可以更改通過第三方應用程序注冊的用戶的帳戶密碼。
Taskiran說:“這個端點使我能夠為使用第三方應用程序注冊的帳戶設置一個新密碼。”
“我通過構建一個簡單的JavaScript payload(觸發CSRF)將這兩個漏洞結合起來,并從一開始就將其注入到易受攻擊的URL參數中,以存檔“一鍵式帳戶接管”。
Taskiran于2020年8月26日向TikTok報告了帳戶接管攻擊鏈,ByteDance公司解決了這些問題,并于9月18日獎勵了漏洞獵手3860美元的賞金。
字節跳動公司去年修復了更多帳戶劫持漏洞
TikTok還解決了其基礎架構中的一系列安全漏洞,阻止了潛在的攻擊者通過劫持帳戶來操縱用戶的視頻并竊取其信息的可能。
Check Point研究人員于2019年11月下旬向ByteDance公司披露了這些安全問題,ByteDance在一個月內修復了這些漏洞。
攻擊者可能使用TikTok的SMS系統,通過這些漏洞來上傳未經授權的視頻或是刪除視頻,將用戶的視頻從私人設備轉移到公共場合,并竊取敏感的個人數據。
“TikTok致力于保護用戶數據,”TikTok安全工程師Luke Deshotels表示,“像許多組織一樣,我們鼓勵負責任的安全研究人員在私下向我們披露0day漏洞。”
塞爾吉·加特蘭(Sergiu Gatlan) 2020年11月23日 下午06:28
本文翻譯自:https://www.bleepingcomputer.com/news/security/tiktok-fixes-bugs-allowing-account-takeover-with-one-click/如若轉載,請注明原文地址。


相關文章

我們很樂意傾聽您的聲音!
即刻與我們取得聯絡
成為日后肩并肩合作的伙伴。

行業資訊

聯系我們

13387904606

地址:新余市仙女湖區仙女湖大道萬商紅A2棟

手機:13755589003
QQ:122322500
微信號:13755589003

江西新余網站設計_小程序制作_OA系統開發_企業ERP管理系統_app開發-新余聯升網絡科技有限公司 贛ICP備19013599號-1   贛公網安備 36050202000267號   

微信二維碼