导语:VPNMentor的安全研究人员发现了基于DOM的XSS漏洞,影响Vinder,Shopify,Western Union和Imgur的6.85亿用户。
来自VPNMentor的安全研究人员检测到多个客户端漏洞,允许黑客访问用户的个人资料和详细信息。
基于DOM的XSS也称为0型XSS,此漏洞允许攻击者制作恶意URL,如果其他用户访问了URL,则javascript将在用户的浏览器中执行。
它允许攻击者窃取受害者的会话令牌,登录凭据,执行任意操作以及捕获键盘记录。
VPNMentor通过其负责任的披露计划向Tinder通报了漏洞。通过进一步分析,VPNMentor研究人员了解到存在漏洞端点并非由Tinder拥有,而是由branch.io拥有,该分支平台是全球许多大公司使用的归属平台。
他们还发现,Shopify,Yelp,Western Union和Imgur等许多大型网站都使用了相同的存在漏洞的端点,这使得6.85亿用户面临风险。
基于DOM的XSS – 重定向策略和验证绕过
研究人员最初发现的是端点https://go.tinder.com/amp-iframe-redirect,它出现了多个漏洞。显示的脚本redirect_strategy为“INJECTIONA”,同时也找到了scheme_redirect为“INJECTIONB”。
攻击者可以将redirect_strategy修改为dom-XSS有效载荷,从而在用户浏览器中使用Tinder的上下文执行客户端代码。
此外,研究人员观察到可以绕过验证功能,因为indexOf会找到“https://”。
研究人员指出,受该漏洞影响的网站很少,如RobinHood,Shopify,Canva,Yelp,Western Union,Letgo,Cuvva,imgur,Lookout,fair.com等。
虽然该漏洞已得到修复,但如果最近使用过Tinder或任何其他受影响的网站,为确保帐户安全,建议尽快更改密码。