TikTok已经修补了一个反映的XSS安全缺陷和一个导致帐户接管影响公司web域的错误。
通过漏洞悬赏平台研究人员穆罕默德的HackerOne“
另请参见:TikTok对云的重大意义,电子商务:TikTok Global由Oracle创建,沃尔玛拥有20%
在对平台进行模糊化处理时,bug bounty的研究人员发现,利用此问题可以实现反射式跨站点脚本(XSS),可能导致在用户的浏览器会话中执行恶意代码。
此外,taskran发现一个端点易受跨站点请求伪造(CSRF)攻击,在这种攻击中,威胁参与者可以欺骗用户以可信用户的身份向web应用程序提交操作。
taskin能够创建一个简单的JavaScript负载,将这两个漏洞结合起来。该脚本能够触发CSRF问题,然后如果注入到易受攻击的URL参数中,将导致一次单击帐户接管。
“端点使我能够为使用第三方应用程序注册的帐户设置新密码,“臭虫赏金猎人说。
TechRepublic:现在是银行重新考虑如何保护客户信息的时候了。
TikTok在8月26日第一次收到一份报告,描述了这些漏洞。到9月3日,TikTok已经对安全问题进行了分类,并将严重性评分定为8.2。漏洞于9月18日被修复。
Taskiran获得了3美元的漏洞奖励,860.
ZDNet已经联系到了TikTok,我们会在收到回复后更新。
有什么建议吗?通过WhatsApp | Signal联系,电话+447713 025 499,或访问Keybase:charlie0
黑色星期五笔记本电脑优惠:Surface Pro 7,Razer Blade,更多
